Toifalarga kiritilmagan

Heartbleed va parollaringizni o'zgartirish haqida nimalarni bilishingiz kerak

Heartbleed va parollaringizni o'zgartirish haqida nimalarni bilishingiz kerak


We are searching data for your request:

Forums and discussions:
Manuals and reference books:
Data from registers:
Wait the end of the search in all databases.
Upon completion, a link will appear to access the found materials.

[Rasm manbai:Yurak qoni]

Demak, siz so'nggi paytlarda Heartbleed haqida eshitgansiz va barcha do'stlaringiz sizga barcha parollaringizni o'zgartirishingizni aytishlari mumkin. Biroq, parollaringizni o'zgartirishdan oldin, ushbu veb-sayt olinganligini bilishingiz kerak barchasi o'zini Heartbleed-dan himoya qilish uchun zarur choralar, aks holda sizning yangi parolingiz xuddi shunday himoyasiz bo'lib qoladi. Ba'zi ro'yxatlar, saytlar parolni o'zgartirishga tayyorligini aytmoqda, ammo barcha kerakli xavfsizlik choralarini tekshirmagan. Qo'shimcha ma'lumot olish uchun o'qing:

P.S. Biz Heartbleed xavfsizligini buzish holatini aynan shu tarzda tushuntirishga harakat qilamiz hamma tushunishi mumkin va shuningdek, parolni qayerda va qachon o'zgartirishingiz kerakligi haqida sizga xabar bering.

Heartbleed xatosi nima?

Veb-comic xkcd Heartbleed-ni biz ko'rgan eng sodda tarzda tushuntirib beradigan kichik multfilmini chizib berdi:

Birinchidan, veb-xavfsizlik, ma'lum bo'lgan dasturiy ta'minot tomonidan ta'minlanganligini bilishingiz kerak OpenSSL (xavfsiz soketlar qatlami), bu foydalanuvchi kompyuteriga va veb-saytlar serveriga (veb-sayt joylashtirilgan / saqlanadigan) yuborilgan va yuborilgan ma'lumotlarni shifrlaydi (aralashtiradi). Shunday qilib, muhimi, kabi narsalar haqida o'ylang foydalanuvchi nomlari, parollar va hatto kredit karta va manzil ma'lumotlari Siz o'zingizning kompyuteringizdan veb-saytlar serveriga o'tadigan onlayn shakllarga yuborishingiz mumkin.

Heartbleed deb nomlanuvchi narsadan foydalanadi "yurak urishi" foydalanuvchi kompyuteri va veb-saytlar serveri o'rtasida - asosan, veb-saytga kirganingizda, veb-sayt sizning kompyuteringiz faol ekanligi va sizning so'rovlaringizni yurak urishi bilan kutib turishi uchun javob beradi. Yurak urishi sizning so'rovingizni yuborishda sizning kompyuteringiz yuborgan ma'lumotlarning hajmiga teng bo'lgan javob bo'lishi kerak. Shu bilan birga, dasturiy ta'minotdagi xatolik xakerlarga serverlar xotirasidan dastlabki so'rovning umumiy ma'lumotlaridan tashqari 65 536 baytgacha ko'proq ma'lumotlarni so'rashga imkon beradi. So'rovda olingan ushbu qo'shimcha ma'lumotlarda parollardan tortib, boshqa odamlar yuborgan kredit karta ma'lumotlariga qadar bo'lgan narsalar bo'lishi mumkin (yuqoridagi multfilmga qarang).

Heartbleed xatosi dasturchi Robin Seggelmann tomonidan ochiq kodli dasturiy ta'minot, OpenSSL dasturiga 2011 yil Yangi yil arafasida qo'shib qo'ygan. Bu shuni anglatadiki, xavfsizlik teshigi hozir 2 yildan oshdi va eng yomoni. qismi shundaki, xakerning yurak urishidan qo'shimcha ma'lumot so'raganligini aniqlashning imkoni yo'q. Boshqacha qilib aytganda, kimdir veb-saytdan parollarni yoki boshqa muhim ma'lumotlarni o'g'irlab ketganligini aniqlashning imkoni yo'q.

Parolimni qachon o'zgartirishim kerak?

Ko'pgina veb-saytlar qaysi veb-saytlarni o'zgartirishingiz va parolingizni hali o'zgartirishingiz kerakligi to'g'risida maslahat beradigan ro'yxatlarni taqdim etmoqda. Biroq, ko'plab xavfsizlik bo'yicha mutaxassislar (masalan, Bryus Shneyer, Troy Xant va AgileBitsdagi odamlar) siz uchta narsani tekshirishingiz kerakligini aytadilar:

  1. Sayt (yoki apparat / dastur Heartbleed veb-saytlarga qaraganda ko'proq ta'sir qiladi) OpenSSL versiyasidan foydalangan, aslida Heartbleed-ga nisbatan zaif bo'lgan (1.0.1 mart 2012 dan 1.0.1f gacha bo'lgan versiyalar). Tuzatishni o'z ichiga olgan versiya 1.0.1g bo'lib, u 2014 yil 7 aprelda chiqarilgan.
  2. Sayt OpenSSL xatosini tuzatdi.
  3. Sayt xavfsizlik kalitlarini yangilab, so'ngra yangi xavfsizlik (SSL) sertifikatini berdi.

Agar buning hammasi siz uchun biroz mumbo-jumbo bo'lsa, LastPass's Heartbleed tekshiruvi hozirda eng ishonchli tekshirish usuli hisoblanadi, agar siz o'zingizni qo'l bilan tekshirib ko'rmasangiz. Sayt parolni o'zgartirishga tayyor ekanligiga ishonch hosil qilish uchun ITWorld-ga o'ting.

Parolni o'zgartirishingiz kerak bo'lgan ba'zi Internet-saytlar ro'yxatlari, masalan, veb-saytlar, masalan, OpenSSL xatosini tuzatganligini tekshirgan va yangi xavfsizlik (SSL) sertifikatlari berilganligini tekshirmagan. Server Heartbleed hujumi qurboniga aylanganligini aniqlashning iloji yo'qligi sababli, xaker xavfsizlik kalitlarini yuklab olganmi yoki yo'qmi, bu yuqoridagi uchta qadam bajarilmagan bo'lsa, veb-saytni himoyasiz qoldirishi mumkinligi aniq emas.

Faqat @CloudFlare-ning chaqirig'ini buzdi: https://t.co/8ZPSxyKF4D. Men ular sahifani qachon yangilashadi deb o'ylayman.

- Fedor Indutny (@indutny) 11 Nisan 2014

Yaqinda Cloudflare kontentni tarqatish tarmog'i o'z tadqiqotchilariga SSL xavfsizlik kalitlarini olish uchun Heartbleed-dan foydalanishga urinib ko'rishda va ishlamay qolganda xatolikning jiddiyligini ko'rib chiqdi. Biroq, ular jamoatchilik oldida muammo tug'dirganda, Fedor nomi bilan tanilgan Node.js guruhining xakeri shaxsiy SSL kalitlarini muvaffaqiyatli olishga muvaffaq bo'ldi.

Umid qilamizki, bu Heartbleed haqidagi tushunchangizga yordam beradi va sizning xavfsizligingizni ta'minlash uchun kerakli va o'z vaqtida parolni o'zgartirasiz. Yakuniy nuqta sifatida biz sizga eslatmoqchimiz emas barcha veb-saytlar uchun bir xil paroldan foydalanish, chunki bu halokatli bo'lishi mumkin. Agar siz juda ko'p turli xil parollarni kuzatib borolmasangiz, LastPass kabi dasturdan foydalanishni tavsiya etamiz.

Parol menejeri, raqamli xavfsizlik, shuningdek xavfsiz USB xotira qurilmasi va mobil akkumulyatorni bitta paketga taklif qiladigan Logme Once Kickstarter kampaniyasini ko'rib chiqing:

LogmeOnce kundalik ehtiyojni qondiradi. Bugungi kunda kimning xakerlik hujumiga uchrashi, parollarini unutishi yoki shunchaki zaif parollari borligi sababli zaif bo'lib qolishidan kim tashvishlanmayapti? LogmeOnce ushbu xavotirlarga xavfsiz va ishlatishda qulay alternativani va qog'oz parchalarida shoshilinch ravishda yozilgan parollarni taklif etadi.


Videoni tomosha qiling: How to Fix OpenSSL Heart Bleed Bug on Ubuntu (Fevral 2023).