Videó: Nőgyógyászati és hormonproblémák lelki háttere (biologika, ujmedicina) (November 2024)
A heti hírekben a Heartbleed bug megbeszélései domináltak, amely lehetővé teszi a hackerek számára, hogy adatokat közvetlenül az érintett biztonságos szerverek memóriájából gyűjtsenek. A rögzített adatok tartalmazhatnak titkosítási kulcsokat, jelszavakat és minden állítólag biztonságos HTTPS csatornán keresztül küldött adatot. A hiba több mint két éve jelen van, és mivel a támadás nem hagy nyomot, fogalmunk sincs arról, hogy mennyit használták fel.
Ki sebezhető?
A LastPass jelszóvarázslói új ráncot adtak a termék Biztonsági ellenőrző jelentéséhez. Most, a gyenge és másodpéldányos jelszavak megjelölésén kívül, felsorolja az összes elmentett webhelyet, amelyek érzékenyek vagy érzékenyek a Heartbleedre. Megkértem számos LastPass felhasználót, hogy küldje el nekem a jelentés eredményeit, csak hogy megértsem, mi van ott.
Több mint 200 jelszó van tárolva a LastPass-ban. Csak hatot jelentettek sebezhetőnek, kettőt pedig már javítottak. Összeadva a kollégáim eredményeit, 50 érzékeny helyet láttam, amelyek közül 30 még mindig nincs javítva.
A LastPass jelentés javasolja a jelszó megváltoztatását azon webhelyek számára, amelyeket javítottak a hiba javításához. A többiek számára azt várja, hogy várja meg, amíg a webhely bejelenti a frissítést, mivel vadonatúj jelszava továbbra is sérülékeny lesz. Saját magamnak azt javaslom, hogy érezze fel a Heartbleed-et ébresztésként, hogy megváltoztassa az összes jelszavát, ügyelve arra, hogy mindegyik erős és hogy egyetlen webhely sem használja ugyanazt a jelszót. A javítás után ismét meg kell változtatnia a még mindig sebezhető webhelyek jelszavait, ám ezek megváltoztatása minimálisra csökkenti az expozíció lehetőségét.
Legjobb üzletek
Egy másik megfigyelés céljából felvettem az Alexa 20 legnépszerűbb bevásárlóhelyét, és végigfuttattam őket néhány online teszten. Filippo Valsorda kutatója nem sokkal azután, hogy a Heartbleed hírek eltörtek, létrehozott egy tesztet. A LastPass igény szerinti tesztet is tart
Kicsit zavarónak találtam Valsorda teszt eredményeit. A teszt a kipróbált 20 webhely öt közül olyan hibaüzenetet adott vissza, mint a "törött cső" vagy az "i / o időtúllépés". Kilenc webhely tiszta egészségügyi számlát kapott, mivel a teszt szerint "rögzített vagy érintetlen". A fennmaradó hat hibaüzenetet adott vissza, mivel a kapcsolatot átadták a tartalomszolgáltató hálózatnak, és a CDN tanúsítványa nem felelt meg az általam megadott tartománynak. A jelölőnégyzet bejelölésével a tanúsítványok figyelmen kívül hagyása mindegyikét „rögzített vagy nem érintő” eredményre adta, de a tesztoldal figyelmezteti, hogy ez hamis eredmény lehet.
A LastPass által biztosított tesztoldal sokkal több információt nyújt. Tíz olyan webhelyről számolt be, amelyek valószínűleg nem biztonságosak. Ez azt jelenti, hogy a teszt nem tudta meghatározni, hogy a webhely OpenSSL-t használ-e, a kriptokönyvtárat, amelyet a Heartbleed hiba érint. A webhelyek közül négy valószínűleg sérülékeny, mivel használják az OpenSSL-t, és kettő ma biztonságos. Négy másik helyszín határozottan nem volt sebezhető, és az egyik, amely határozottan sebezhető, ma biztonságos. Csak egyetlen olyan webhely marad, amelyet kapcsolathiba miatt nem lehet elemezni.
A LastPass Heartbleed tesztelő arról is beszámol, hogy az egyes webhelyek SSL tanúsítványa nemrégiben megváltozott. A tanúsítvány, amelyet nem sokkal azután változtak meg, hogy a Heartbleed töréséről értesültek, elég jó jelzés arra, hogy a webhelyet érintették, de most biztonságban van.
Mint az összes olyan webhelyen, amelyek állapota nem egyértelmű, a legjobb megoldás az, ha magának a webhelynek a bejelentését várja meg. Legyen óvatos. Ne kattintson az e-mailben kapott jelszó-visszaállítási hivatkozásra, mert ezek közül néhány csalás. Navigáljon közvetlenül a webhelyre, módosítsa a jelszavát, és győződjön meg arról, hogy a jelszókezelő felvette a változást.
Itt maradhat a PCMag folyamatos lefedettségével a Heartbleed hibáról.
