Video: Adobong Puso Ng Saging (Nobyembre 2024)
Ang balita sa linggong ito ay pinangungunahan ng mga talakayan ng bug sa Puso, na nagpapahintulot sa mga hacker na mag-scoop up ng data nang direkta mula sa memorya ng mga apektadong ligtas na server. Maaaring makuha ang nakunan ng data na mga key key, mga password, at anumang data na ipinadala sa pamamagitan ng isang siguradong secure na HTTPS channel. Ang bug ay naroroon nang higit sa dalawang taon, at dahil ang pag-atake ay walang bakas, wala kaming ideya kung gaano ito pinagsamantalahan.
Sino ang Vulnerable?
Ang mga wizards ng password sa LastPass ay nagdagdag ng isang bagong kulubot sa ulat ng Security Check ng produkto. Ngayon, bilang karagdagan sa pag-flag ng mahina at dobleng mga password, inililista nito ang alinman sa iyong mga nai-save na site na o mahina laban sa Heartbleed. Tinanong ko ang isang bilang ng mga kapwa mga gumagamit ng LastPass na ipadala sa akin ang mga resulta ng ulat na iyon, para lamang magkaroon ng pakiramdam para sa kung ano ang nasa labas.
Mayroon akong higit sa 200 mga password na nakaimbak sa LastPass aking sarili. Anim lamang sa kanila ang iniulat bilang mahina, at dalawa ay na-patch. Pagdaragdag ng mga resulta mula sa aking mga kasamahan, nakakita ako ng 50 mahina na site, na may 30 sa kanila ay hindi pa rin naka-patched.
Inirerekumenda ng ulat ng LastPass na baguhin mo ang iyong password para sa mga site na na-patch upang ayusin ang bug. Para sa iba pa, iminumungkahi nito ang paghihintay hanggang matapos ang pag-anunsyo ng site ng isang pag-update, dahil ang iyong bagong-bagong password ay masusugatan pa rin. Para sa aking sarili, iminumungkahi ko ang pagkuha ng Heartbleed bilang isang gumising na tawag upang mabago ang lahat ng iyong mga password, tinitiyak na ang bawat isa sa kanila ay malakas at na walang dalawang site na gumagamit ng parehong password. Kailangan mong baguhin ang mga password para sa mga maaapektuhan na mga site muli pagkatapos na naayos na, ngunit binabago ang lahat ng mga ito ngayon ay pinaliit ang potensyal para sa pagkakalantad.
Nangungunang Tindahan
Para sa isa pang pagtingin, kinuha ko ang tuktok na 20 pinakasikat na mga site ng pamimili ni Alexa at pinatakbo ang mga ito sa isang online na mga pagsubok. Ang mananaliksik na si Filippo Valsorda ay lumikha ng isang pagsubok sa ilang sandali matapos ang pagsabog ng balita sa Puso. Ang LastPass ay nagho-host din ng isang on-demand na pagsubok
Natagpuan ko ang mga resulta ng pagsubok ng Valsorda na medyo nakalilito. Ang pagsubok ay nagbalik ng isang mensahe ng error tulad ng "sirang pipe" o "i / o timeout" para sa lima sa 20 mga site na sinubukan ko. Ang siyam na site ay nakakuha ng isang malinis na bayarin ng kalusugan, dahil ang pagsubok ay iniulat na sila ay "naayos o hindi apektado." Ang natitirang anim ay nagbalik ng isang mensahe ng error dahil sa ang katunayan na ang koneksyon ay ipinasa sa isang network ng paghahatid ng nilalaman, at ang sertipiko ng CDN ay hindi tumutugma sa domain na aking pinasok. Ang pagsuri sa kahon upang huwag pansinin ang mga sertipiko ay nakuha lahat ng mga ito na "naayos o hindi apektado" na resulta, ngunit binabalaan ng pahina ng pagsubok na ito ay maaaring isang maling resulta.
Ang pahina ng pagsubok na ibinigay ng LastPass ay nagbibigay ng maraming karagdagang impormasyon. Iniulat ang sampung sa mga site na posibleng hindi ligtas. Nangangahulugan ito na ang pagsubok ay hindi matukoy kung gumagamit ba o hindi ang site ng OpenSSL, ang aklatan ng crypto na apektado ng bug sa Heartbleed. Apat sa mga site ay marahil ay mahina ang loob, dahil ginagamit nila ang OpenSSL, at dalawa sa mga ito ay ligtas. Apat na iba pang mga site ay tiyak na hindi masugatan, at ang isa na tiyak na mahina laban ay ligtas na ngayon. Nag-iiwan lang ng isang site na hindi masuri dahil sa isang error sa koneksyon.
Ang LastPass Heartbleed tester ay nag-ulat din kung paano kamakailan ay binago ang sertipiko ng SSL ng bawat site. Ang isang sertipiko na binago makalipas ang ilang sandali matapos ang balita tungkol sa nasira ang Heartbleed ay isang magandang magandang indikasyon na apektado ang site ngunit ngayon ay ligtas.
Tulad ng para sa lahat ng mga site na hindi malinaw ang katayuan, ang iyong pinakamahusay na mapagpipilian ay maghintay para sa isang anunsyo mula sa mismong site. Subalit maging maingat. Huwag i-click ang anumang link na naka-reset sa password na natanggap mo sa isang email, dahil ang ilan sa mga ito ay mga pandaraya. Mag-navigate nang direkta sa site, baguhin ang iyong password, at siguraduhin na ang iyong tagapamahala ng password ay napili sa pagbabago.
Panatilihin ang patuloy na saklaw ng PCMag ng Puso ng bughaw dito.
