Video: 23 Kako je tako je Stadion Live 2015 (Oktober 2024)
Novice v tem tednu prevladujejo razprave o hroču Heartbleed, ki hekerjem omogoča, da poberejo podatke neposredno iz spomina prizadetih varnih strežnikov. Zajeti podatki lahko vključujejo šifrirne ključe, gesla in vse podatke, poslane prek domnevno varnega kanala HTTPS. Hrošč je prisoten že več kot dve leti, in ker napad ne pušča sledi, nimamo pojma, koliko je bil izkoriščen.
Kdo je ranljiv?
Čarovniki z gesli na LastPass so v poročilo o varnosti izdelka dodali novo gubo. Zdaj poleg označevanja šibkih in podvojenih gesel navaja vsa shranjena spletna mesta, ki so ali so dovzetna za Heartbleed. Prosila sem številne druge uporabnike LastPass-a, da mi pošljejo rezultate tega poročila, samo da imam občutek, kaj je tam.
Sama imam več kot 200 gesel, shranjenih v LastPassu. Samo šest jih je bilo prijavljenih kot ranljivih, dve pa so že bili zakrpani. Če sem dodal rezultate kolegov, sem videl 50 ranljivih mest, pri čemer jih 30 še vedno ni bilo zakrpljenih.
Poročilo LastPass priporoča, da spremenite geslo za spletna mesta, ki so bila popravljena, da odpravite napako. Za ostale pa je treba počakati, ko spletno mesto objavi posodobitev, saj bo vaše čisto novo geslo še vedno ranljivo. Zase bi predlagal, da vzemite Heartbleed kot budni klic, da spremenite vsa gesla in poskrbite, da je vsako od njih močno in da nobeno dve mesti ne uporabljata istega gesla. Po popravku boste morali znova spremeniti gesla za še vedno ranljiva spletna mesta, vendar če jih spremenite, zdaj zmanjšate možnost izpostavljenosti.
Vrhunske trgovine
Za drug pogled sem vzela Alexa najboljših 20 najbolj priljubljenih nakupovalnih mest in jih vodila skozi par spletnih testov. Raziskovalec Filippo Valsorda je ustvaril test kmalu po razbijanju novic Heartbleeda. LastPass gosti tudi test na zahtevo
Rezultati Valsordinih testov so se mi zdeli nekoliko zmedeni. Test je vrnil sporočilo o napaki, kot je "zlomljena cev" ali "i / o timeout" za pet od 20 mest, ki sem jih preizkusil. Devet mest je dobilo zdrav račun, saj je test pokazal, da so "popravljeni ali niso bili prizadeti". Preostalih šest je vrnilo sporočilo o napaki, ker je bila povezava predana omrežju za pošiljanje vsebine, potrdilo CDN pa se ni ujemalo z domeno, ki sem jo vnesel. Če potrdite polje, da prezrte certifikate, so vsi ti rezultati "fiksni ali nepovezani", vendar testna stran opozarja, da je to lahko napačen rezultat.
Testna stran, ki jo je ponudil LastPass, ponuja veliko več informacij. Poročalo je o desetih najdišč kot morda nevarnih. To pomeni, da test ni mogel določiti, ali spletno mesto uporablja OpenSSL, kripto knjižnico, na katero je vplival hrošček Heartbleed. Štiri mesta so bila verjetno ranljiva, ker uporabljajo OpenSSL, dve od teh pa sta zdaj varni. Štiri druga mesta zagotovo niso bila ranljiva, eno, ki je bilo vsekakor ranljivo, pa je zdaj varno. Tako ostane samo eno mesto, ki ga zaradi napake v povezavi ni bilo mogoče analizirati.
Lastnik testa LastPass Heartbleed poroča tudi o tem, kako je bil nedavno spremenjen SSL certifikat vsakega spletnega mesta. Potrdilo, ki se je spremenilo kmalu po novicah o zlomu Heartbleeda, je precej dober pokazatelj, da je bilo mesto prizadeto, vendar je zdaj varno.
Kar zadeva vsa spletna mesta, katerih status ni jasen, je vaša najboljša stava počakati na objavo s samega spletnega mesta. Vendar bodite previdni. Ne kliknite povezave za ponastavitev gesla, ki ste jo prejeli v e-poštnem sporočilu, ker so nekatere od teh goljufij. Pojdite neposredno na spletno mesto, spremenite geslo in se prepričajte, da vas ob spremembi poišče upravitelj gesla.
Spremljajte sprotno pokritost hrošča Heartbleed v PCMagu.
