Heartbleed, Running the Code - Computerphile
Innholdsfortegnelse:
Nesten 70 prosent av trafikken på Internett sysselsetter OpenSSL for å sikre dataoverføringene. Som oversetter til nesten alle de store serverne (les: nettsteder), bruk OpenSSL for å sikre dataene dine, for eksempel påloggingsinformasjon. Imidlertid fant noen fra Google en feil i OpenSSL - en mindre programmeringsfeil, men stor nok til å gi bort dataene dine til hackere - folk som er villige til å bruke dataene dine for deres formål. Denne OpenSSL-feilen heter Heartbleed , siden den er nært knyttet til noe HeartBeat-lag av OpenSLL.
Hva er Heartbleed Bug
De fleste serverne godtar krypterte data, dekoder den med krypteringsnøklene og fremover det for behandling. Siden de fleste servere bruker FIFO (First in First Out) -metoden for å betjene sluttbrukere, setter dataene (etter dekryptering) i serverminnet en stund før serveren tar det opp for videre behandling.
Heartbleed Bug er et tilfelle av bekymring for nesten alle Internett-baserte kommersielle nettsteder og noen andre typer. Denne programmeringsfeilen gjør at hackere kan sjekke inn på hvilken som helst tjener som bruker OpenSSL og leser / lagrer / bruker ukrypterte data (dekrypterte data). Hackere har nå ikke bare tilgang til dataene dine, de kan gjengi nettsiden sertifikat gjør Internett, enda mer farlig sted. Med kopien av nettsiden sertifikatet kan hackere lage etterligningssteder: nettsteder som ligner på originale nettsteder. Med det kan de få tilgang til dine data som kredittkortdetaljer, personlig informasjon etc.
Lyder skummelt, ikke sant? Det er - faktisk - som det kan få tilgang til informasjonen din og at informasjonen kan brukes til enhver ende.
Note : Heartbleed har også et kodenavn CVE-2014-0160. CVE står for vanlige sikkerhetsproblemer og eksponeringer. Disse kodene relatert til sårbarheter etc. er gitt av MITER, en uavhengig kropp som holder spor av feil og lignende problemer.
Skal jeg oppgradere mitt anti-virus eller noe
Heartbleed bug i OpenSSL har ingenting å gjøre med antivirus eller brannmur. Dette er ikke et problem med klienten, slik at du kan gjøre lite om det. På den andre siden må servere bruke en oppdatering til OpenSSL-systemet de bruker. Dette gjøres, kan nettsiden sies å være tryggere for samhandling.
Hva du kan gjøre som bruker, er å redusere antall besøk til handel og lignende nettsteder. Det er ikke slik at feilen bare påvirker handelsnettstedene. Det er lik for alle typer nettsteder som bruker OpenSSL. Jeg sier å unngå handelssteder for en stund som de ville være det store målet for hackere som vil ha kortdetaljer etc. Det betyr at det primære målet for hackere ville være e-handelsnettsteder som bruker OpenSSL.
Når du får en melding / Rapporter at feilen er løst, du kan fortsette som du pleide å gjøre før feilen ble oppdaget. OpenSSL har opprettet en oppdatering og har gitt ut det til webområdeeiere for å sikre brukerens data. Inntil da, prøv å unngå nettsteder der du må gi i dine data i noen form - selv innloggingsinformasjon. Jeg er sikker på at nesten alle webansvarlige må gå inn for oppdateringen, men det er fortsatt et problem. Når du er sikker på at det ikke er noen sikkerhetsproblemer eller slike sikkerhetsproblemer har blitt patched, kan det være lurt å endre passordene dine.
Bruk disse nettleserutvidelsene til å advare deg om hjertebelastede nettsteder.
Nettstedssertifikater kopiert via Heartbleed må tas opp
Det er store muligheter for at nettsikkerhetssertifikater kan ha blitt kopiert for å skape ondsinnede nettsteder. Siden sikkerhetssertifikatene som generelle kopier, kan nettleserne dine kanskje ikke fortelle forskjellen. Det er deg som må være forsiktig. Unngå å klikke på koblinger, og skriv inn nettadressen til nettstedet i adressefeltet slik at du ikke blir omdirigert til noe falskt nettsted.
Dette problemet kan løses på to måter:
- Nettleserne som er tilgjengelige i markedet, må gjøres klare nok til å identifisere kopierte sertifikater og varsle deg.
- Nettredaktørene endrer sertifikatene etter at patchen er brukt.
Med andre ord, det vil ta litt tid å implementere over selv om webmastere bruker oppdateringen. Jeg ønsker å gjenta at ikke klikk koblinger i e-post eller ikke-anerkjente nettsteder. Skriv bare nettadressen i adressefeltet eller hvis den opprinnelige siden er merket, bruk bokmerket.
Henvisninger-delen i slutten av denne artikkelen inneholder en ufrivillig liste over berørte nettsteder. Ufullstendig fordi det kan være flere nettsteder berørt enn de som er oppført der.
Referanser:
- Hjertesvikt: Nettsted
- OpenSSL: Sikkerhetsrådgivende for hjerteblødning
- Git Hub: Liste over berørte nettsteder.
Brukere har klaget over sakte og spottete 3G-tjenester. Kunder har selv arkivert klage mot Apple og AT & T for å overmette nettverket og ikke leve opp til markedsføringshype rundt 3G-hastigheter. iPhone-brukere lurte også om mangelen på MMS-meldinger, som senere har blitt lagt til, og manglende evne til å bruke iPhone til datatetting, selv om enheten selv er i stand.
[Videre lesing: De beste Android-telefonene for hvert budsjett . ]
Hva er e-postspoofing og hvordan du beskytter deg selv og vær trygg?
E-postspoofing er en form for phishing. Avsender bruker andres adresser som agn. Lær om forebygging av e-spoofing, hvordan du stopper det, beskyt deg selv og vær trygg.
Tips om hvordan du holder deg trygt på offentlige datamaskiner
Lær hvordan du kan være trygg på offentlige datamaskiner på Internet Cafe, dekker regler, farer, risiko for bruk av dem, forholdsregler for å ta og ting du bør slette.