Da admin di sistemi unix ti dico che 3/4 dell'allarme e' scandalistica pura.La probabilita' che qualcuno abbia la tua password e' bassissima. Cambiare password e' cmq una buona abitudine anche in mancanza di bug. Gianni 'bbk' in movimento
E' una questione molto seria ma difficile da spiegare ai profani: il BUG che è stato individuato è in giro da un paio d'anni e può essere sfruttato dagli hacker per raccogliere porzioni di memoria del server durante la fase di inizializzazione della connessione (ovvero in un momento in cui le applicazioni non sono ancora attive e tantomeno i meccanismi di logging). (Tieni anche conto che il concetto di "Server" in qualche caso si applica anche al tuo PC client, dipende dalla logica della applicazione). Il bug (che colpisce prodotti delle tipologie più disparate) espone purtroppo proprio le porzioni di memoria usate dal protocollo SSL, quindi potrebbe essere usato per catturare chiavi private (ad esempio per preparare un sito HTTPS assolutamente indistinguibile da quello originale, alla faccia dei lucchetti presenti nei browser).
Non so se serve cambiare le password, ma perlomeno lascerei passare un paio di settimane in modo da farlo quando la maggioranza delle falle sarà tappata con aggiornamenti al software, rinnovo dei certificati e dichiarazione di non validità del certificato precedente nelle CRL, che a questo punto rischieranno di scoppiare. Un bel casino, insomma !
Stefano
