Видео: Relax video | with gorgeous Arina and Nissan Skyline ECR33. (Септември 2024)
Новините тази седмица бяха доминирани от дискусии за сървъра на Heartbleed, който позволява на хакерите да събират данни директно от паметта на засегнатите сигурни сървъри. Заснетите данни могат да включват криптиращи ключове, пароли и всякакви данни, изпратени чрез уж защитен HTTPS канал. Грешката присъства повече от две години и тъй като атаката не оставя следа, нямаме представа колко е била експлоатирана.
Кой е уязвим?
Съветниците за пароли на LastPass добавиха нова бръчка към отчета за проверка на сигурността на продукта. Сега, освен че маркира слаби и дублиращи се пароли, той изброява всички ваши запазени сайтове, които са или са уязвими за Heartbleed. Помолих редица други потребители на LastPass да ми изпратят резултатите от този доклад, само за да усетя какво има там.
Сам имам над 200 пароли, съхранявани в LastPass. Само шест от тях бяха съобщени за уязвими, а две вече бяха закърпени. Като добавих резултати от моите колеги, видях 50 уязвими сайта, като 30 от тях все още не са кръпкани.
Докладът LastPass препоръчва да промените паролата си за сайтове, които са били кръпка, за да коригирате грешката. За останалите предлага да изчакате, докато сайтът обяви актуализация, тъй като новата ви парола все още ще бъде уязвима. За себе си бих предложил да приемам Heartbleed като събуждане, за да промените всичките си пароли, като се уверите, че всеки от тях е силен и нито един сайт не използва една и съща парола. Ще трябва да промените паролите за все още уязвимите сайтове отново, след като са коригирани, но промяната им всички минимизира потенциала за експозиция.
Топ магазини
За друга гледка взех топ 20 на най-популярните сайтове за пазаруване на Alexa и ги проведох чрез няколко онлайн теста. Изследователят Филипо Валсорда създаде тест малко след новината на Heartbleed. LastPass също така хоства тест при поискване
Намерих резултатите от тестовете на Валсорда малко объркващи. Тестът върна съобщение за грешка като „счупена тръба“ или „i / o timeout“ за пет от 20-те сайта, които опитах. Девет сайта получиха чиста сметка за здравето, тъй като тестът отчете, че са „фиксирани или незасегнати“. Останалите шестима върнаха съобщение за грешка поради факта, че връзката беше предадена на мрежа за доставяне на съдържание и сертификатът на CDN не съвпада с домейна, който въведох. Ако поставите отметка в квадратчето, за да игнорирате сертификати, всички тези резултати са „фиксирани или незасегнати“, но тестовата страница предупреждава, че това може да е фалшив резултат.
Тестовата страница, предоставена от LastPass, дава много повече информация. Той отчете десет от сайтовете като вероятно опасни. Това означава, че тестът не може да определи дали сайтът използва или не OpenSSL, крипто библиотеката, засегната от грешката Heartbleed. Четири от сайтовете вероятно бяха уязвими, защото те използват OpenSSL, а два от тях вече са безопасни. Четири други обекта определено не бяха уязвими, а един, който определено беше уязвим, вече е безопасен. Това оставя само един сайт, който не може да бъде анализиран поради грешка в връзката.
Тестерът на LastPass Heartbleed също отчита как наскоро беше променен SSL сертификата на всеки сайт. Сертификат, който бе променен малко след новината за счупване на Heartbleed, е доста добър индикатор, че сайтът е засегнат, но сега е в безопасност.
Що се отнася до всички сайтове, чийто статус е неясен, най-добре е да изчакате съобщение от самия сайт. Бъдете предпазливи обаче. Не кликнете върху връзката за нулиране на паролата, която получавате в имейл, защото някои от тях са измами. Навигирайте директно до сайта, променете паролата си и бъдете сигурни, че мениджърът ви на пароли ще вземе промяната.
Следете за текущото покритие на грешката в Heartbleed от PCMag.
