Magyar Opera

Címkék » OpenSSL


A Heartbleed bug és az Opera

Bizonyára mindenki hallott már az OpenSSL szolgáltatás Heartbleed nevű sebezhetőségéről az elmúlt napokban. A technikai részletekbe nem megyünk bele. A hiba lényegét jól összefoglalja ez az xkcd comic strip.

Felmerül a kérdés, hogy az Opera böngésző milyen téren érintett. Átlagos felhasználók szempontjából a rövid válasz az, hogy sehogy. Ennél azonban kicsit részletesebb a jelentés, ami az Opera blogján jelent meg.

A régi Opera (Presto) használta ugyan az OpenSSL-t, de azt a modulját nem, amiben a sebezhetőség megjelent, így a Prestót használó programok (régi Opera, Mini, Mail) nem érintettek. Egyetlen kivétel van, a régi Opera automatikus frissítője, ami használta a hibás modult, viszont a program csak az Opera szervereihez csatlakozott, és több különböző azonosítást is használt, így a hiba kihasználása inkább csak elméleti lehetőség. Ennek ellenére valószínűleg lesz egy biztonsági frissítés a 12-tes verzióhoz.

Az új Opera (Chromium) asztali verziói nem használják az OpenSSL-t, így nem érintettek. Az Androidos és iOS-es verziók használják, de a régi Operához hasonlóan azt a modult nem, ami sebezhető, így szintén nem érintettek.

Összességében az Opera által gyártott böngészők nem sebezhetőek ezzel a hibával. Ez viszont nem vonatkozik a beépülőkre (pluginek). Azokkal kapcsolatban a gyártók (Adobe, Oracle, stb) az illetékesek.

Az Opera által nyújtott különböző webes szolgáltatások közül több is használta a hibás modult, de csak a beléptetés után, így a jelszavak ilyen szempontból biztonságban voltak. Azóta az Opera lecserélte a tanúsítványait. A külső féltől származó szolgáltatások esetében (blog, fórum) viszont az Opera nem tudja garantálni, hogy nem kerültek ki a jelszavak, ezért ezeken a helyeken érdemes cserélni.