Phenquestions
Beveik 70 procentų interneto srauto dirba „OpenSSL“ užtikrinti duomenų perdavimą. Tai reiškia, kad beveik visi pagrindiniai serveriai (skaitykite: svetainės) naudoja „OpenSSL“, kad apsaugotų jūsų duomenis, pvz., Prisijungimo duomenis. Tačiau kažkas iš „Google“ rado „OpenSSL“ klaidą - nedidelę programavimo klaidą, tačiau pakankamai didelę, kad atiduotų jūsų duomenis įsilaužėliams - žmonėms, norintiems naudoti jūsų duomenis savo tikslams. Ši „OpenSSL“ klaida pavadinta Širdies nes jis yra glaudžiai susijęs su kažkokiu „OpenSLL“ „HeartBeat“ sluoksniu.
Kas yra „Heartbleed Bug“
Dauguma serverių priima užšifruotus duomenis, juos iššifruoja naudodami šifravimo raktus ir persiunčia juos apdoroti. Kadangi dauguma serverių naudoja FIFO (First in First Out) metodą, kad aptarnautų galutinius vartotojus, dažnai duomenys (po iššifravimo) kurį laiką sėdi serverio atmintyje, kol serveris juos paima tolesniam apdorojimui.
„Heartbleed“ klaida kelia nerimą beveik visoms interneto komercinėms svetainėms ir kai kuriems kitiems tipams. Ši programavimo klaida leidžia įsilaužėliams prisijungti prie bet kurio serverio, kuriame naudojamas „OpenSSL“, ir skaityti / išsaugoti / naudoti nešifruotus duomenis (iššifruotus duomenis). Įsilaužėliai dabar turi ne tik prieigą prie jūsų duomenų, bet ir gali atkurti svetainės sertifikatą, padarydami internetą dar pavojingesne vieta. Turėdami svetainės sertifikato kopiją, įsilaužėliai gali sukurti imituojančias svetaines: svetaines, kurios atrodo panašios į originalias svetaines. Naudodamiesi tuo, jie gali toliau pasiekti jūsų duomenis, pvz., Kreditinės kortelės duomenis, asmeninę informaciją ir kt.
Skamba baisiai, ar ne? Tai - iš tikrųjų, nes ji gali pasiekti jūsų informaciją ir ta informacija gali būti naudojama bet kokiems tikslams pasiekti.
Pastaba: „Heartbleed“ taip pat turi kodinį pavadinimą CVE-2014-0160. CVE reiškia bendrus pažeidžiamumus ir ekspozicijas. Šie kodai buvo susiję su pažeidžiamumais ir kt. pateikia MITER, nepriklausoma įstaiga, stebinti klaidas ir panašias problemas.
Ar turėčiau atnaujinti savo antivirusinę programą ar pan
„Heartbleed“ klaida „OpenSSL“ neturi nieko bendro su jūsų antivirusine programa ar užkarda. Tai nėra kliento pusės problema, todėl jūs galite tai padaryti mažai. Kita vertus, serveriai turi pritaikyti pleistrą savo naudojamoje „OpenSSL“ sistemoje. Tai padaryta, galima sakyti, kad svetainė yra saugesnė bendraujant.
Tai, ką galite padaryti kaip vartotojas, yra sumažinti apsilankymų komercijoje ir panašiose svetainėse skaičių. Nėra taip, kad ši klaida veikia tik prekybos svetaines. Ji lygi visų tipų svetainėms, naudojančioms „OpenSSL“. Aš sakau, kad kuriam laikui venkite komercinių svetainių, nes jos būtų pagrindinis programišių, norinčių jūsų kortelės duomenų ir pan., Taikinys. Tai reiškia, kad pagrindinis įsilaužėlių tikslas būtų elektroninės prekybos svetainės, naudojančios „OpenSSL“.
Gavę pranešimą / pranešimą, kad klaida ištaisyta, galite tęsti taip, kaip darėte anksčiau, kol klaida buvo atrasta. „OpenSSL“ sukūrė pataisą ir išleido ją svetainių savininkams, kad apsaugotų savo vartotojų duomenis. Iki tol stenkitės vengti svetainių, kuriose turite pateikti savo duomenis bet kokia forma - net prisijungimo duomenis. Esu įsitikinęs, kad beveik visi žiniatinklio valdytojai turi kreiptis dėl pleistro, tačiau vis dar yra problema. Kai įsitikinsite, kad nėra pažeidžiamumų arba tokių pažeidimų buvo užtaisyta, gali būti gera pakeisti slaptažodžius.
Tuo tarpu naudokite šiuos naršyklės plėtinius, kad perspėtumėte apie „Heartbleed“ paveiktas svetaines.
Reikia pašalinti svetainės sertifikatus, nukopijuotus per „Heartbleed“
Yra didelė tikimybė, kad kuriant kenkėjiškas svetaines gali būti nukopijuoti svetainės saugos sertifikatai. Kadangi saugos sertifikatai yra bendrosios kopijos, jūsų naršyklės gali nieko nenurodyti. Tai jūs turite išlikti atsargūs. Venkite spustelėti nuorodas ir verčiau įveskite svetainės URL adreso juostoje, kad nebūtumėte nukreipti į netikrą svetainę.
Šią problemą galima išspręsti dviem būdais:
- Rinkoje esančios naršyklės turėtų būti pakankamai išmanios, kad atpažintų nukopijuotus sertifikatus ir jus perspėtų.
- Pritaikę pleistrą žiniatinklio valdytojai keičia sertifikatus.
Kitaip tariant, reikės šiek tiek laiko įgyvendinti aukščiau, nors žiniatinklio valdytojai naudoja pleistrą. Norėčiau pakartoti, kad nespustelėkite nuorodų el. Laiškuose ar nepriekaištingų svetainių. Tiesiog įveskite URL adreso juostoje arba, jei pažymėjote pradinę svetainę, naudokite žymę.
Šio straipsnio pabaigoje esančioje nuorodų skiltyje pateikiamas neišsamus paveiktų svetainių sąrašas. Nebaigta, nes gali būti paveikta daugiau svetainių nei jose išvardytos.
Nuorodos:
- „Heart Bleed“: svetainė
- „OpenSSL“: saugumo patarimas dėl širdies kraujavimo
- „Git Hub“: paveiktų svetainių sąrašas.
