这次的问题是连作为普通用户(client side)都可能受影响,因为客户端也用 openssl
理论上,只要有人做个钓鱼网址(或利用已经 compromised 的),就有可能窃取访问的客户端的内存内容,而且因为可以利用这个取服务器的 private key,那麼 man-in-the-middle 就很容易实现,而且是表面上看起来通过 CA 的 https 链接
楼上有人问到泄漏 64k 内存内容的严重性,那是因为如果这 64k 是随意的内容片段,影响还不会那麼大,但这次的 64k 内容属於 openssl 相关的,有极大可能其内容就包括了 secured session cookies,login credential,和 private key 的内容,其中以后者最为重要
理论上,只要有人做个钓鱼网址(或利用已经 compromised 的),就有可能窃取访问的客户端的内存内容,而且因为可以利用这个取服务器的 private key,那麼 man-in-the-middle 就很容易实现,而且是表面上看起来通过 CA 的 https 链接
楼上有人问到泄漏 64k 内存内容的严重性,那是因为如果这 64k 是随意的内容片段,影响还不会那麼大,但这次的 64k 内容属於 openssl 相关的,有极大可能其内容就包括了 secured session cookies,login credential,和 private key 的内容,其中以后者最为重要
