ChromeBleed/FoxBleed.

Расширения для браузеров ChromeBleed и FoxBleed, позволяют проверять на Heartbleed каждый посещаемый пользователем сайт. Крупные сайты достаточно оперативно провели у себя аудит и закрыли данную уязвимость. Но как быть с более мелкими сайтами? Уверен ли ты, что разработчики проявили добросовестность, провели у себя все необходимые проверки, закрыли дыру и предупредили пользователей?  Данные расширения для Фаерфокс и Хрома, проводят проверку при помощи известного сервиса http://heartbleedtest.com/

Heartbleed - ошибка (переполнение буфера) в криптографическом программном обеспечении OpenSSL, позволяющая несанкционированно читать память на сервере или на клиенте, в том числе для извлечения закрытого ключа сервера.

Heartbeat-пакет состоит из данных, которые сервер должен вернуть в неизменном виде (это гарантирует, что сервер расшифровывал пакет), и случайных заполняющих байтов.

OpenSSL не проверял корректность этого пакета: возможен, например, пакет длиной 16 байт, в котором написано, что длина данных 64 килобайта (поле размера двухбайтовое). Подверженные ошибке версии OpenSSL выходили за пределы буфера и передавали клиенту столько памяти, сколько он запросил, позволяя атакующему получать не предназначенные для этого данные. RFC предписывает не отвечать на такие "отравленные" пакеты.

Через heartbleed нельзя извлечь какой-то конкретный блок памяти. Однако злоумышленники могут повторять атаку ещё и ещё раз, пока в ответном пакете не попадутся конфиденциальные данные сервера или пользователей. Попасться может всё, что угодно: начиная от закрытого ключа сервера, который сможет позволить атакующему расшифровывать текущий или сохранённый трафик с помощью атаки man-in-the-middle, и заканчивая чьими-то cookie, запросами и ответами, которые позволят взломать ни в чём не повинного пользователя и извлечь любые его данные.