Heartbleed-fejlen, nu som tegneserie...

Vi har inden for kort tid set tre meget kritiske fejl i forskellige SSL-implementationer. Kan vi bortforklare det med at SSL er kompliceret og at kryptering er for svært? Desvære nej, det er tankevækkende at alle tre fejl grundlæggende set er dårlig programmering af kode der burde være ligetil at implementere.

Hvis du stadigvæk ikke har forstået hvad Heartbleed-fejlen egentlig går ud på, så læs Randall Munroes forklaring i dagens XKCD:

Heartbleed explained

Så enkelt er det. (Tegneserien frigivet under CC-BY-NC 2.5 af Randall Munroe)

Kommentarer (9)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Peter Mogensen

Hmm... øjensynligt har en af hensigterne været at give noget fleksibilitet, så det kunne bruges til path MTU discovery.
Det første Internet-Draft havde ikke denne længde.
Og hele problematikken ang. den har været diskuteret i denne tråd:
http://www.ietf.org/mail-archive/web/tls/current/msg06453.html

Hvor det også tydeligt er blevet nævnt at det skal checkes at den er korrekt.
Og udmøntede sig da også i at draft-01 indholdet teksten:

If payload_length is either shorter than expected and thus indicates
padding in a HeartbeatResponse or exceeds the actual message length
in any message type, an illegal parameter alert MUST be sent in
response.

... som i RFC6520 blev til:

If the payload_length of a received HeartbeatMessage is too large,
the received HeartbeatMessage MUST be discarded silently.

Så der er vist ikke andet at sige til det end at det at den fejl fik lov til at snige sig ind i OpenSSL er resultatet af en eklatant gang sjusk - og mangel på code review.

  • 2
  • 0
Jacob Christian Munch-Andersen

Jeg er stadigvæk ikke helt opdateret på hvad det smarte ved konstruktionen er ud over at det er noget med forskellige pakkestørrelser, men en Heartbeat forespørgsel har en prædefineret længde som opnås ved hjælp af padding, i svaret udelades denne padding. Derfor indeholder en Heartbeat forespørgsel naturligvis en længde så man kan kende besked fra padding.

  • 1
  • 0
Jeppe Boelsmand

Det er ikke i orden at du lægger tegneserien direkte i dit blogindlæg og det er jo alligevel ikke bredt nok til at man kan læse det. Giv dog manden den traffik han fortjener.

  • 1
  • 6
Peter Makholm Blogger

Det er ikke i orden at du lægger tegneserien direkte i dit blogindlæg

Jo det er det: http://xkcd.com/license.html

Man kan lidt diskuterer om version2.dk opfylder NonComercial-delen af licensen, men med Randall Munroes uddybning mener jeg at det er i orden med ham. Trafik tror jeg også han får masser af.

Jeg er enig i at den tekniske kvalitet ikke er helt den bedste. Det er desvære ikke mit CMS, men jeg ville med glæde bruge det 'embeddable' link som Randall selv anbefaler man bruger.

  • 3
  • 0
Peter Makholm Blogger

Jeg er enig i at den tekniske kvalitet ikke er helt den bedste. Det er desvære ikke mit CMS, men jeg ville med glæde bruge det 'embeddable' link som Randall selv anbefaler man bruger.

Jeg har nu rodet lidt i indlægget så jeg bruger Randalls eget embeddable link. Så må redaktionen acceptere at jeg roder en lille smule i layoutet — men faktisk mindre end jeg regnede med...

  • 2
  • 0
Log ind eller Opret konto for at kommentere