O perigo do erro crónico é pior do que o uso de conexões não-ssl?

Tentando entender tudo ao ler http://heairtbleed.com/

Esta frase As Leaked secret keys allows the attacker to decrypt any past and future traffic to the protected services and to impersonate the service at will isso pairece bastante grave.

Agora, existem muitos sites da empresa privada / pequena que não necessairiamente têm encryption SSL paira seu site. Esse tipo de comportamento malicioso também é possível sem cronológico e SSL? Se assim for, isso significa que qualquer site que não seja SSL poderia ser uma viewsão representada? É a informação que pode ser obtida com a coragem das mesmas informações que os hackers podem obter se um site não for criptografado ou less / mais?

Em resposta à pergunta do título, e como é frequentemente o caso com a tecnologia, isso depende . Um único ataque crónico permite que um invasor retorna até 64k do que deve ser a memory privada do server e leia o que está airmazenado lá.

O que será airmazenado lá? Depende. Até agora, keys secretas, keys de session e dados de cairga útil HTTPS estão entre as coisas que os atacantes encontrairam no stream de dados retornado. Poderia, em teoria, ser qualquer coisa, mas por causa da maneira como a memory é alocada pelos computadores, é extremamente provável que algo em que o service atacado estivesse pensando no momento: keys criptográficas paira todos os services, logins HTTP paira serveres web, mensagens de correio paira Servidores IMAP, e assim por diante. Não estou ciente de que qualquer invasor tenha causado que um service devolva algo além de segredos relacionados ao service, e enquanto isso for viewdade, o coração não mostra nada pior do que fazer tudo em text simples teria feito .

Um respeito importante em que o coração é pior do que as conexões de text simples é que, com o cripto, as pessoas tinham a expectativa de privacidade, então talvez se comportassem de uma maneira que não teriam feito em text simples e, portanto, mais poderia ser exposível. Mas isso é um problema social, não técnico.

sim, uma connection não SSL pode ser visualizada por qualquer roteador / server que o tráfego flui e como a internet é roteável em teoria, isso pode ser qualquer server em qualquer lugair (não é, mas pode ser).

Se um invasor estiview monitorando a captura de todo o tráfego com um roteador / server malicioso, mas os dados foram criptografados SSL, então os dados são essencialmente seguros, desde que os ataques não tenham as keys paira descriptografair os dados como o server final terá.

Se o atacante usa heairtbleed e recupera as keys do server de destino, qualquer dado criptografado pode ser descriptografado. Excluindo os serveres que empregam o PFS que o invasor não poderia decodificair as sessões SSL anteriores. (Obrigado @MichelZ por apontá-lo)

O outro motivo paira usair o SSL é que a connection não pode ser falsa / alterada sem que você perceba.

Como com todas as coisas de security, com resources suficientes, todos esses são pontos desconhecidos.