بيت Securitywatch كيف واسعة النطاق هو علة heartbleed؟

كيف واسعة النطاق هو علة heartbleed؟

فيديو: تعليم الØروف الهجائية للاطفال نطق الØروف بالØركات الف (شهر نوفمبر 2024)

فيديو: تعليم الØروف الهجائية للاطفال نطق الØروف بالØركات الف (شهر نوفمبر 2024)
Anonim

سيطرت أخبار هذا الأسبوع على مناقشات Heartbleed ، والتي تتيح للمتسللين جمع البيانات مباشرةً من ذاكرة الخوادم الآمنة المتأثرة. يمكن أن تشمل البيانات الملتقطة مفاتيح التشفير وكلمات المرور وأي بيانات يتم إرسالها عبر قناة HTTPS المفترض أنها آمنة. الخطأ موجود منذ أكثر من عامين ، وبما أن الهجوم لم يترك أي أثر ، فليس لدينا أدنى فكرة عن مقدار استغلاله.

من هو المستضعف؟

أضافت معالجات كلمة المرور في LastPass تجاعيدًا جديدًا إلى تقرير فحص الأمان للمنتج. الآن ، بالإضافة إلى الإبلاغ عن كلمات مرور ضعيفة ومكررة ، فإنها تسرد أيًا من المواقع المحفوظة الخاصة بك أو المعرضة لـ Heartbleed. لقد طلبت من عدد من مستخدمي LastPass الآخرين أن يرسلوا لي نتائج هذا التقرير ، فقط للتعرف على ما هو موجود هناك.

لدي أكثر من 200 كلمة مرور مخزنة في LastPass بنفسي. تم الإبلاغ عن ستة منهم فقط عرضة للخطر ، واثنان قد تم بالفعل مصححة. إضافة إلى نتائج زملائي ، رأيت 50 موقعًا ضعيفًا ، 30 منها لم يتم تصحيحها بعد.

يوصي تقرير LastPass بتغيير كلمة المرور للمواقع التي تم تصحيحها لإصلاح الخطأ. بالنسبة للآخرين ، فإنه يقترح الانتظار حتى بعد أن يعلن الموقع عن تحديث ، لأن كلمة مرورك الجديدة ستظل ضعيفة. بالنسبة لي ، أقترح أخذ Heartbleed بمثابة دعوة للاستيقاظ لتغيير كل كلمات المرور الخاصة بك ، والتأكد من أن كل واحدة منها قوية ولا يستخدم أي موقعين نفس كلمة المرور. سيتعين عليك تغيير كلمات المرور للمواقع التي لا تزال معرضة للخطر مرة أخرى بعد إصلاحها ، ولكن تغييرها جميعًا الآن يقلل من احتمال التعرض.

أفضل المتاجر

من أجل وجهة نظر أخرى ، أخذت أفضل 20 موقع تسوق في Alexa وشاهدتها عبر عدة اختبارات عبر الإنترنت. الباحث Filippo Valsorda أنشأ اختبارًا بعد وقت قصير من نشر أخبار Heartbleed. يستضيف LastPass أيضًا اختبارًا عند الطلب

لقد وجدت نتائج اختبار Valsorda مربكة بعض الشيء. عرض الاختبار رسالة خطأ مثل "توجيه الإخراج المعطّل" أو "مهلة الإدخال / الإخراج" لخمسة من المواقع العشرين التي جربتها. حصلت تسعة مواقع على شهادة صحية نظيفة ، حيث أشار الاختبار إلى أنها "ثابتة أو غير متأثرة". أعاد الستة الباقون رسالة خطأ نظرًا لحقيقة أن الاتصال تم تسليمه إلى شبكة توصيل المحتوى ، وأن شهادة CDN لا تتوافق مع المجال الذي أدخلته. أدى تحديد المربع لتجاهل الشهادات إلى الحصول على كل هذه النتائج "الثابتة أو غير المتأثرة" ، لكن صفحة الاختبار تحذر من أن هذه النتيجة قد تكون خاطئة.

تقدم صفحة الاختبار التي يوفرها LastPass مزيدًا من المعلومات. وذكرت عشرة من المواقع ربما غير آمنة. هذا يعني أن الاختبار لم يتمكن من تحديد ما إذا كان الموقع يستخدم OpenSSL أم لا ، وهي مكتبة التشفير التي تتأثر بقلب Heartbleed. من المحتمل أن تكون أربعة من هذه المواقع معرضة للخطر ، لأنها تستخدم OpenSSL ، واثنان من هذه المواقع آمنان الآن. من المؤكد أن أربعة مواقع أخرى لم تكن معرضة للخطر ، والموقع الذي كان معرضًا بالتأكيد للخطر أصبح الآن آمنًا. يترك هذا موقعًا واحدًا فقط لا يمكن تحليله بسبب خطأ في الاتصال.

يختبر اختبار LastPass Heartbleed أيضًا مدى تغيير شهادة SSL لكل موقع مؤخرًا. الشهادة التي تم تغييرها بعد فترة وجيزة من خبر كسر Heartbleed هي إشارة جيدة إلى أن الموقع قد تأثر ولكنه آمن الآن.

بالنسبة لجميع المواقع التي تكون حالتها غير واضحة ، فإن أفضل رهان لك هو انتظار إعلان من الموقع نفسه. كن حذرا ، رغم ذلك. لا تنقر فوق أي رابط لإعادة تعيين كلمة المرور تتلقاه في رسالة بريد إلكتروني ، لأن بعض هذه عمليات الاحتيال. انتقل مباشرة إلى الموقع ، وقم بتغيير كلمة المرور الخاصة بك ، وتأكد من أن مدير كلمة المرور ينتقل إلى التغيير.

مواكبة تغطية PCMag المستمرة للحشرة Heartbleed هنا.

كيف واسعة النطاق هو علة heartbleed؟