-
- いいね!33
Kenn Ejima
@kenn
@n_soda @kazuho LBのプロセスが全ユーザをロードしている瞬間というのはないと思いますよ。最大でも同時接続数。nginxで1000とかのオーダー。
2014-04-11 15:17:09
SODA Noriyuki
@n_soda
@kenn @kazuho LB使わず、httpdにSSL処理させてるところも結構あるのでは?いまどき、専用LBでさえハードウェアアクセラレーションとかないx86マシンだったりすることが多いそうですから、LBをhttpdと分けた方が効率的かどうかは自明じゃないと思いますし。
2014-04-11 15:22:49
Kazuho Oku
@kazuho
blogged / “Kazuho's Weblog: Heartbleed脆弱性と、その背後にあるWebアプリケーションアーキテクチャの一般的欠陥について” http://t.co/tVjmjuL4Qi
2014-04-11 15:43:31
Kenn Ejima
@kenn
つか、今回の発見者が(ASLRが効いてる64bit環境などでmallocするアドレスが散ってれば)秘密鍵の漏洩はあまり現実的じゃないって言ってるし。でもmallocの中でmmapじゃなくてsbrkが使われてたら予想しやすいよなぁ。そこ切り替わる条件ってなんだっけ。。。
2014-04-11 15:46:40
Kenn Ejima
@kenn
む、自前管理のfreelistのせいだったのか。。。ASLR効かないし隣接するバッファをオーバーリードするだけだから攻撃コストは低いな。うーん、思ってたよりはやばそう。 http://t.co/z7YL4IEC0Q ぶっちゃけCでこの手の問題は未来永劫なくならんだろうね。
2014-04-12 03:54:48
Kenn Ejima
@kenn
10万回のリクエストで秘密鍵をゲット、ということは約6.4GBを処理して発掘したってことか。10Mbpsで読み続けたとして90分ぐらい。うーん、アウトですねw https://t.co/Hhgx1S2rld
2014-04-12 11:54:43
Tatsuhiko Miyagawa
@miyagawa
@kenn is it ok if you get it with 1Mbps in 15 hours?
2014-04-12 14:41:10
Tatsuhiko Miyagawa
@miyagawa
@kenn oh i thought you meant it's too much of data bandwidth use that's noticeable by server admins.
2014-04-12 15:02:55
Kenn Ejima
@kenn
@miyagawa It depends. At scale 10Mbps may not be significant. Anyway it's order of magnitude easier than I thought, it should take years.
2014-04-12 15:08:43