วีดีโอ: A day with Scandale - Harmonie Collection - Spring / Summer 2013 (ธันวาคม 2024)
ข่าวในสัปดาห์นี้ถูกครอบงำโดยการอภิปรายของ Heartbleed bug ซึ่งช่วยให้แฮกเกอร์สามารถรวบรวมข้อมูลโดยตรงจากหน่วยความจำของเซิร์ฟเวอร์ที่ปลอดภัยที่ได้รับผลกระทบ ข้อมูลที่บันทึกไว้อาจรวมถึงคีย์การเข้ารหัสรหัสผ่านและข้อมูลใด ๆ ที่ส่งผ่านช่องทาง HTTPS ที่ปลอดภัยซึ่งคาดคะเน ข้อผิดพลาดเกิดขึ้นนานกว่าสองปีและเนื่องจากการโจมตีไม่มีร่องรอยเราจึงไม่ทราบเลยว่ามันถูกโจมตี
ใครอ่อนแอ
ตัวช่วยสร้างรหัสผ่านที่ LastPass ได้เพิ่มรอยย่นใหม่ให้กับรายงานการตรวจสอบความปลอดภัยของผลิตภัณฑ์ ตอนนี้นอกเหนือจากการตั้งค่าสถานะรหัสผ่านที่ไม่รัดกุมและซ้ำแล้วซ้ำอีกมันยังแสดงรายการไซต์ที่บันทึกไว้ของคุณที่มีหรือเสี่ยงต่อ Heartbleed ฉันขอให้ผู้ใช้ LastPass จำนวนหนึ่งส่งรายงานผลลัพธ์ให้ฉันเพื่อทำความเข้าใจว่ามีอะไรเกิดขึ้นบ้าง
ฉันมีรหัสผ่านมากกว่า 200 รหัสที่เก็บไว้ใน LastPass ด้วยตนเอง มีเพียงหกคนเท่านั้นที่รายงานว่ามีช่องโหว่และทั้งสองได้รับการแก้ไขแล้ว เมื่อเพิ่มผลลัพธ์จากเพื่อนร่วมงานของฉันฉันเห็นไซต์ที่มีช่องโหว่ 50 แห่งโดยที่ไซต์เหล่านั้น 30 แห่งยังไม่ได้รับการแก้ไข
รายงาน LastPass แนะนำให้คุณเปลี่ยนรหัสผ่านสำหรับไซต์ที่ได้รับการแก้ไขเพื่อแก้ไขข้อบกพร่อง สำหรับคนอื่น ๆ แนะนำให้รอจนกว่าไซต์จะประกาศอัปเดตเนื่องจากรหัสผ่านใหม่ของคุณจะยังคงมีช่องโหว่ สำหรับตัวฉันเองฉันขอแนะนำให้ทำการ Heartbleed เป็นการโทรปลุกเพื่อเปลี่ยนรหัสผ่านทั้งหมดของคุณตรวจสอบให้แน่ใจว่าทุกคนมีความแข็งแกร่งและไม่มีไซต์สองแห่งที่ใช้รหัสผ่านเดียวกัน คุณจะต้องเปลี่ยนรหัสผ่านสำหรับไซต์ที่มีช่องโหว่อีกครั้งหลังจากแก้ไขแล้ว แต่ตอนนี้การเปลี่ยนรหัสผ่านทั้งหมดจะลดโอกาสในการแสดงผลให้น้อยที่สุด
ร้านค้าชั้นนำ
อีกมุมมองหนึ่งฉันเลือกใช้เว็บไซต์ช้อปปิ้งยอดนิยม 20 อันดับแรกของ Alexa และทดสอบพวกเขาผ่านการทดสอบออนไลน์สองสามข้อ นักวิจัย Filippo Valsorda สร้างการทดสอบหลังจากข่าว Heartbleed ล้มเหลว LastPass ยังโฮสต์การทดสอบตามความต้องการ
ฉันพบว่าผลการทดสอบของ Valsorda ค่อนข้างสับสน การทดสอบส่งคืนข้อความแสดงข้อผิดพลาดเช่น "broken pipe" หรือ "หมดเวลาของ i / o" สำหรับห้าใน 20 ไซต์ที่ฉันลอง เว็บไซต์เก้าแห่งมีสุขภาพที่ดีตามรายงานผลการทดสอบว่า "คงที่หรือไม่ได้รับผลกระทบ" อีกหกคนที่เหลือส่งข้อความแสดงข้อผิดพลาดเนื่องจากการเชื่อมต่อถูกส่งไปยังเครือข่ายการจัดส่งเนื้อหาและใบรับรองของ CDN ไม่ตรงกับโดเมนที่ฉันป้อน การทำเครื่องหมายที่ช่องเพื่อเพิกเฉยต่อใบรับรองจะได้ผลลัพธ์ทั้งหมด "คงที่หรือไม่ได้รับผลกระทบ" แต่หน้าทดสอบเตือนว่านี่อาจเป็นผลที่ผิดพลาด
หน้าทดสอบที่จัดทำโดย LastPass ให้ข้อมูลเพิ่มเติมมากมาย มีการรายงานไซต์สิบแห่งว่าไม่ปลอดภัย นั่นหมายความว่าการทดสอบไม่สามารถระบุได้ว่าไซต์ใช้ OpenSSL หรือไม่ไลบรารี crypto ที่ได้รับผลกระทบจาก Heartbleed bug ไซต์สี่แห่งอาจมีช่องโหว่เนื่องจากใช้ OpenSSL และสองไซต์นั้นปลอดภัย ไซต์อื่น ๆ อีกสี่แห่งไม่ได้มีช่องโหว่และเว็บไซต์ที่มีช่องโหว่นี้ก็ปลอดภัยแล้ว นั่นเหลือเพียงไซต์เดียวที่ไม่สามารถวิเคราะห์ได้เนื่องจากข้อผิดพลาดในการเชื่อมต่อ
เครื่องทดสอบ LastPass Heartbleed ยังรายงานว่าใบรับรอง SSL ของแต่ละไซต์เพิ่งเปลี่ยนไปเมื่อเร็ว ๆ นี้ ใบรับรองที่มีการเปลี่ยนแปลงในไม่ช้าหลังจากข่าวเกี่ยวกับ Heartbleed ยากจนเป็นข้อบ่งชี้ที่ดีว่าเว็บไซต์ได้รับผลกระทบ แต่ตอนนี้ปลอดภัย
สำหรับไซต์ทั้งหมดที่มีสถานะไม่ชัดเจนทางออกที่ดีที่สุดของคุณคือรอการประกาศจากไซต์นั้น ระวังให้ดี อย่าคลิกลิงก์รีเซ็ตรหัสผ่านใด ๆ ที่คุณได้รับในอีเมลเพราะบางรายการนั้นเป็นการฉ้อโกง นำทางไปยังไซต์โดยตรงเปลี่ยนรหัสผ่านของคุณและตรวจสอบให้แน่ใจว่าผู้จัดการรหัสผ่านของคุณรับการเปลี่ยนแปลง
ติดตามความเคลื่อนไหวอย่างต่อเนื่องของ PCMag เกี่ยวกับ Heartbleed bug ที่นี่