Uncategorized

Ինչ պետք է իմանաք Heartbleed- ի և գաղտնաբառերը փոխելու մասին

Ինչ պետք է իմանաք Heartbleed- ի և գաղտնաբառերը փոխելու մասին


We are searching data for your request:

Forums and discussions:
Manuals and reference books:
Data from registers:
Wait the end of the search in all databases.
Upon completion, a link will appear to access the found materials.

[Պատկերի աղբյուրը ՝Սրտառուչ]

Այսպիսով, դուք կարող էիք վերջերս լսել Heartbleed- ի մասին, և ձեր բոլոր ընկերները կարող են ձեզ ասել, որ փոխեք ձեր բոլոր գաղտնաբառերը: Այնուամենայնիվ, նախքան ձեր գաղտնաբառերը փոխելը, դուք պետք է իմանաք, որ տվյալ կայքը վերցրել է բոլորը անհրաժեշտ քայլերը `Heartbleed- ից պաշտպանվելու համար, հակառակ դեպքում ձեր նոր գաղտնաբառը կմնա նույնքան խոցելի: Որոշ ցուցակներ, որոնք շրջապատում են ձեզ, ասում են, որ կայքերը պատրաստ են գաղտնաբառի փոփոխության, սակայն չեն ստուգել անվտանգության բոլոր անհրաժեշտ քայլերը: Կարդացեք ՝ ավելին իմանալու համար.

Պ.Ս. Մենք պատրաստվում ենք (փորձել) բացատրել, թե ճշգրիտ ինչն է Heartbleed- ի անվտանգության խախտումը այնպես, որ այն բոլորը կարող են հասկանալ և նաև ձեզ տեղյակ պահեք, թե որտեղ և երբ պետք է փոխեք ձեր գաղտնաբառը:

Ի՞նչ է Heartbleed սխալը:

Վեբ կոմիքսը xkcd նկարեց մի փոքրիկ մուլտֆիլմ, որը բացատրում է Heartbleed- ը մեր տեսած ամենապարզ ձևով.

Նախևառաջ, դուք պետք է իմանաք, որ վեբ անվտանգությունն ապահովվում է ծրագրակազմով, որը հայտնի է որպես OpenSSL (անվտանգ վարդակների շերտ), որը ծածկագրում է (խառնվում է) օգտագործողի համակարգչից և վեբ կայքերի սերվերից (որտեղ վեբ կայքն է պահվում / պահվում) ուղարկված տվյալները: Այսպիսով, ամենակարևորը, մտածեք այնպիսի բաների մասին, ինչպիսիք են օգտագործողի անունները, գաղտնաբառերը և նույնիսկ վարկային քարտի և հասցեի մանրամասները որը դուք կներկայացնեիք առցանց ձևաթղթերին, որոնք ձեր համակարգչից տեղափոխվում են վեբ կայքերի սերվեր:

Heartbleed- ը օգտվում է մի բանից, որը հայտնի է որպես «սրտի բաբախում» օգտագործողի համակարգչի և վեբ կայքերի սերվերի միջև. հիմնականում կայք մուտք գործելիս կայքը կպատասխանի ձեր համակարգչին տեղյակ պահելու համար, որ այն ակտիվ է և սրտի բաբախումներով սպասում է ձեր պահանջներին: Ենթադրվում է, որ սրտի բաբախյունը պատասխան է հավասար տվյալների քանակին, որը ձեր համակարգիչը ուղարկել է հարցումը ներկայացնելիս: Այնուամենայնիվ, ծրագրային ապահովման մեջ առկա մի սխալ թույլ է տալիս հակերներին ավելի շատ տվյալներ պահանջել սերվերների հիշողությունից `նախնական հարցման ընդհանուր տվյալների սահմաններից դուրս` մինչև 65 536 բայթ: Հարցման մեջ ստացված այս լրացուցիչ տեղեկությունները կարող են պարունակել գաղտնաբառերից մինչև կրեդիտ քարտի տվյալներ, որոնք այլ մարդիկ ուղարկել են (տե՛ս վերևի մուլտֆիլմը):

Ասում են, որ Heartbleed- ի սխալը ծրագրավորող Ռոբին Սեգելմանի կողմից թույլ տված սխալն է, որը 2011 թ.-ի Նոր տարվան ավելացրեց OpenSSL բաց կոդով ծրագրակազմը: Սա նշանակում է, որ անվտանգության անցքը գոյություն ունի արդեն ավելի քան 2 տարի, և ամենավատն է: մաս այն է, որ ոչ մի կերպ չի կարելի իմանալ, թե արդյոք հակերը խնդրել է հավելյալ տեղեկատվություն ստանալ սրտի բաբախումից: Այլ կերպ ասած, ոչ մի կերպ չի կարելի իմանալ, թե արդյոք որևէ մեկը երբևէ կայքէջից գողացել է գաղտնաբառեր կամ այլ զգայուն տեղեկություններ:

Ե՞րբ պետք է փոխեմ գաղտնաբառս:

Շատ կայքեր առաջարկում են ցուցակներ, որոնք առաջարկում են խորհուրդներ այն մասին, թե որ կայքերը պետք է փոխեք և արդյոք դեռ պետք է փոխեք ձեր գաղտնաբառը: Այնուամենայնիվ, անվտանգության ոլորտի շատ փորձագետներ (ինչպիսիք են Բրյուս Շնայերը, Տրոյ Հանթը և AgileBits- ի մարդիկ) ասում են, որ դուք պետք է ստուգեք երեք բան.

  1. Կայքը (կամ ապարատը / հավելվածը, քանի որ Heartbleed- ն ավելի շատ ազդում է, քան կայքերը) օգտագործում էր OpenSSL- ի մի տարբերակ, որն իրականում խոցելի էր Heartbleed- ի համար (տարբերակները `1.0.1 2012 թ. Մինչև 1.0.1f): Ուղղումը պարունակող տարբերակը 1.0.1 գ է, որը թողարկվել է 2014 թվականի ապրիլի 7-ին:
  2. Կայքը կարկատել է OpenSSL սխալը:
  3. Կայքը թարմացրեց անվտանգության բանալիները, ապա թողարկեց անվտանգության նոր (SSL) վկայագիր:

Եթե ​​ձեզ համար այս ամենը մի փոքր չափազանց մռայլ խառնաշփոթ է, հաղորդվում է, որ LastPass's Heartbleed ստուգիչը ներկայումս ստուգման ամենահուսալի մեթոդն է, եթե ինքներդ չեք կարող ձեռքով ստուգել: Ավելի մանրամասն ուսումնասիրելու համար, որ կայքը պատրաստ է գաղտնաբառի փոփոխության համար, անցեք ITWorld:

Կայքերի ինտերնետում որոշ ցուցակներ, որոնց համար անհրաժեշտ է փոխել ձեր գաղտնաբառը, ստուգել են միայն, որ կայքերը, օրինակ, կարկատել են OpenSSL սխալը, և չեն ստուգել, ​​արդյոք նոր անվտանգության (SSL) վկայագրեր են տրվել: Քանի որ անհնար է պարզել, թե արդյոք սերվերը սրտանոթի հարձակման զոհ է դարձել, անհասկանալի է, արդյոք հակերը կարող է ներբեռնել է անվտանգության բանալիները, ինչը, միևնույն է, կայքը խոցելի կդարձնի, եթե վերը նշված երեք քայլերը չավարտվեն:

Ուղղակի կոտրվեց @CloudFlare- ի մարտահրավերը. Https://t.co/8ZPSxyKF4D: Հետաքրքիր է, երբ նրանք կթարմացնեն էջը:

- Fedor Indutny (@indutny) 11 նոյեմբերի 2014 թ

Վերջերս Cloudflare- ի բովանդակության բաշխման ցանցը ուսումնասիրեց սխալի լրջությունը `իր հետազոտողներին ստիպելով փորձել և օգտագործել Heartbleed- ը SSL անվտանգության բանալիներ ձեռք բերելու համար և ձախողվել: Այնուամենայնիվ, երբ նրանք մարտահրավեր էին նետում հասարակությանը, Node.js թիմի հակերներից մեկը, որը հայտնի է որպես Fedor, կարողացավ հաջողությամբ վերցնել անձնական SSL ստեղները:

Հուսով ենք, որ դա կօգնի ձեզ հասկանալ Heartbleed- ը, և որ դուք կկատարեք գաղտնաբառի անհրաժեշտ և ժամանակին փոփոխություններ ՝ ձեր առցանց անվտանգությունն ապահովելու համար: Որպես վերջնական կետ ՝ մենք կցանկանայինք հիշեցնել ձեզ ոչ օգտագործել բոլոր գաղտնաբառերը բոլոր կայքերի համար, քանի որ դա կարող է աղետալի լինել: Եթե ​​չեք կարող հետևել այսքան տարբեր գաղտնաբառերին, ապա խորհուրդ ենք տալիս օգտագործել LastPass- ի նման ծրագիր:

Նաև ստուգեք Logme Once Kickstarter արշավը, որն առաջարկում է գաղտնաբառերի կառավարիչ, թվային անվտանգություն, ինչպես նաև անվտանգ USB պահեստավորման սարք և շարժական մարտկոցների լիցքավորիչ մեկ փաթեթում.

LogmeOnce- ը կատարում է առօրյա կարիք: Ո՞վ չի մտահոգվում այս օրերին կոտրվելու, գաղտնաբառերը մոռանալու կամ պարզապես խոցելի լինելու պատճառով, քանի որ նրանք ունեն թույլ գաղտնաբառեր: LogmeOnce- ն առաջարկում է անվտանգ, հեշտ օգտագործման այլընտրանք այս մտահոգություններին և հապճեպ գրված գաղտնաբառեր թղթի կտորների վրա


Դիտեք տեսանյութը: Insecure Deserialization. OWASP Top 10 2017. Video by Detectify (Մայիս 2022).