Maždaug 70 procentų interneto srauto dirba OpenSSL saugoti duomenų perdavimą. Tai reiškia, kad beveik visi pagrindiniai serveriai (skaityti: svetainės) naudoja "OpenSSL", kad apsaugotų jūsų duomenis, pvz., Prisijungimo duomenis. Tačiau vienas iš "Google" rastų "OpenSSL" klaidą - tai yra nedidelė programinės įrangos klaida, bet pakankamai didelė, kad suteiktų jūsų duomenis įsilaužėliams - žmonėms, norintiems naudoti jūsų duomenis savo tikslais. Ši OpenSSL klaida yra pavadinta Heartbleed nes ji yra glaudžiai susijusi su kai kuriu OpenSLL "HeartBeat" sluoksniu.
Kas yra Heartbleed Bug
"Heartbleed Bug" yra nerimas dėl beveik visų internetinių komercinių svetainių ir kai kurių kitų tipų. Ši programavimo klaida leidžia įsilaužėliams patikrinti bet kurį serverį, kuriame naudojama "OpenSSL", ir skaityti / išsaugoti / naudoti nešifruotus duomenis (iššifruoti duomenys). Įsilaužėliai dabar turi ne tik prieigą prie jūsų duomenų, bet ir gali pakartoti svetainės sertifikatą, kuris daro internetą dar pavojingesne vieta. Su svetainės sertifikato kopija, įsilaužėliai gali kurti svetaines, kurios yra panašios į originalias svetaines. Dėl to jie galės toliau naudotis savo duomenimis, pvz., Kredito kortelių duomenimis, asmenine informacija ir kt.
Skamba garsiai, ar ne? Tai - iš tiesų - nes jis gali pasiekti jūsų informaciją ir šią informaciją galima naudoti bet kokiam tikslui.
Pastaba: Heartbleed taip pat turi kodą CVE-2014-0160. CVE - bendras pažeidžiamumas ir ekspozicija. Šie kodai, susiję su pažeidžiamumu ir kt., Yra MITER, nepriklausoma įstaiga, kuri palaiko klaidų ir panašių problemų seką.
Ar turėčiau atnaujinti savo "Anti-Virus" ar kažką
"Heartbleed" klaida "OpenSSL" neturi nieko bendro su jūsų antivirusine ar užkarda. Tai nėra kliento pusės problema, todėl galite šiek tiek apie tai padaryti. Kita vertus, serveriai turi taikyti patch į naudojamą OpenSSL sistemą. Tai padarė, interneto svetainė gali būti laikoma saugesnė bendravimui.
Ką galite padaryti kaip naudotoją, galite sumažinti apsilankymų komercijoje ir panašiose svetainėse skaičių. Tai nereiškia, kad klaida veikia tik komercijos svetaines. Tai yra vienoda visoms svetainių rūšims, kuriose naudojama "OpenSSL". Aš sakau, kad laikui bėgant vengiama komercijos svetainių, nes jie būtų pagrindinis kompiuterinių įsilaužėlių, norinčių gauti jūsų kortelės duomenis, tikslą. Tai reiškia, kad pagrindinis hakerių tikslas būtų e-komercijos svetainės, naudojančios OpenSSL.
Kai gausite pranešimą / pranešimą, kad klaida buvo išspręsta, galite tęsti, kaip anksčiau darėte, kol klaida buvo aptiktos. "OpenSSL" sukūrė pleistras ir išleido jį svetainių savininkams, kad užtikrintų jų naudotojų duomenis. Iki tol bandykite išvengti svetainių, kuriose turite pateikti savo duomenis bet kuria forma - net prisijungimo duomenis. Esu įsitikinęs, kad beveik visi žiniatinklio valdytojai turi dalyvauti pleistruose, tačiau vis dar yra problemų. Kai esate tikri, kad nėra jokių pažeidžiamų vietų arba tokie pažeidimai buvo ištaisyti, gali būti naudinga pakeisti slaptažodžius.
Tuo tarpu naudokite šiuos naršyklės plėtinius, kad įspėtų jus apie "Heartbleed" paveiktose svetainėse.
Svetainės sertifikatai, nukopijuojami per "Heartbleed", turi būti išspręsti
Yra didelė tikimybė, kad tinklalapio saugumo pažymėjimai galėjo būti nukopijuoti kurti kenksmingąsias svetaines. Kadangi saugumo sertifikatai yra bendrosios kopijos, jūsų naršyklės gali nesuprasti skirtumo. Tai tu, kuris turi likti atsargus. Venkite spustelėti nuorodas, o vietoj adreso juostos įveskite svetainės URL adresą, kad nebūtų nukreiptas į kokią nors padirbtą svetainę.
Šią problemą galima išspręsti dviem būdais:
- Rinkoje turimos naršyklės turėtų būti pakankamai protingos, kad identifikuotų nukopijuotus sertifikatus ir įspėtų jus.
- Tinklapio administratoriai pakeičia sertifikatus, taikydami pataisą.
Kitaip tariant, norint įgyvendinti aukščiau, užtruks šiek tiek laiko, nors žiniatinklio valdytojai taiko pleistras. Norėčiau pakartoti, kad nespauskite nuorodų el. Paštuose ar nepatiktiems svetainėms. Tiesiog įveskite URL adreso juostoje arba, jei originali svetainė pažymėta žymekliu, naudokite žymę.
Skyriuje "Nuorodos" šio straipsnio pabaigoje pateikiamas nesudėtingas veikiančių svetainių sąrašas. Neužbaigta, nes gali būti daugiau svetainių, paveiktų negu ten išvardytos.
Nuorodos:
- "Heart Bleed": svetainė
- "OpenSSL": Patarimai dėl saugumo "Heart Bleed"
- Git Hub: paveiktų svetainių sąrašas.
