Windows

ハッブルバブルとは何ですか?ハッカーがサーバーメモリに常駐するデータをハックする可能性があり、データ盗難に脆弱になります。

目次:

Anonim

を使用してデータ転送を保護します。ほとんどの主要なサーバー(読み込み:ウェブサイト)のほとんどは、OpenSSLを使用してログイン資格情報などのデータを保護します。しかし、Googleの誰かがOpenSSLのバグを見つけました。これはマイナーなプログラミングミスではありますが、データをハッカーに与えるほどの大きさです。このOpenSSLバグは、OpenSLLのHeartBeatレイヤーと密接に関連しているため、 Heartbleed という名前が付けられています。 Heartbleedバグとは ほとんどのサーバーは暗号化されたデータを受け取り、それは処理のためです。ほとんどのサーバーはエンドユーザーにサービスを提供するためにFIFO(First In First Out)方式を採用しているため、サーバが後で処理する前にデータが(しばらくの間)サーバーメモリに格納されることがよくあります。

Heartbleed Bugはほぼすべてのインターネットベースの商用Webサイトや他のいくつかのタイプの心配事例です。このプログラミングエラーは、ハッカーがOpenSSLを採用しているサーバーをチェックし、暗号化されていないデータ(暗号化されていないデータ)を読み取り/保存/使用することを可能にします。ハッカーは現在、あなたのデータへのアクセスを持っていないだけでなく、インターネットを作るウェブサイトの証明書、さらに危険な場所を再現することができます。ハッカーは、ウェブサイト証明書のコピーを使用して、模倣サイトを作成することができます。それにより、クレジットカードの詳細、個人情報などのデータにさらにアクセスできます。

恐ろしい音ですね。

:HeartbleedにはコードネームCVE-2014-0160もあります。 CVEはCommon Vulnerabilities and Exposuresの略です。

アンチウィルスなどをアップグレードする必要があります OpenSSLのHeartbleedバグには何もしませんあなたのアンチウィルスまたはファイアウォールと一緒に。これはクライアント側の問題ではないので、あなたはそれについてほとんど何もできません。一方、サーバーは、使用しているOpenSSLシステムにパッチを適用する必要があります。そうすれば、ウェブサイトは相互作用のために安全であると言えるでしょう。

ユーザーとして何ができるのかは、コマースなどのサイトへの訪問回数を減らすことです。バグはコマースサイトだけに影響するわけではありません。 OpenSSLを使用するすべてのタイプのWebサイトで同じです。あなたのカードの詳細などが必要なハッカーの主要なターゲットになるため、商用サイトはしばらくの間は避けてください。つまり、ハッカーの主なターゲットはOpenSSLを使用する電子商取引サイトです。

メッセージを受け取ったら/バグが修正されたことを報告すると、バグが発見される前に以前と同じように進むことができます。 OpenSSLはパッチを作成し、Webサイトの所有者がユーザーのデータを保護するためにリリースしました。それまでは、ログイン資格情報など、どのような形式でもデータを提供しなければならないサイトは避けてください。ほとんどすべてのウェブマスターがパッチを出さなければならないと確信していますが、まだ問題はあります。

これらのブラウザ拡張を使用してHeartbleedの影響を受けるWebサイトの警告を表示してください。

サイト証明書がコピーされました。 via Heartbleedに対処する必要がある

悪質なウェブサイトを作成するためにウェブサイトのセキュリティ証明書がコピーされている可能性が高い。セキュリティ証明書は一般的なコピーであるため、ブラウザは違いを知らないかもしれません。慎重にしなければならないのはあなたです。リンクをクリックするのではなく、アドレスバーにウェブサイトのURLを入力して、偽のサイトにリダイレクトされないようにしてください。

この問題は、次の2つの方法で解決できます:

市場で入手可能なブラウザは、コピーされた証明書を識別して警告するほどスマートにする必要があります。

Webマスターはパッチ適用後に証明書を変更します。ウェブマスターがパッチを適用しても、上記の実装には時間がかかるでしょう。私は、電子メールや評判の悪いウェブサイトのリンクをクリックしないことを繰り返し言いたいと思います。アドレスバーにURLを入力するか、元のサイトをブックマークしておきたい場合は、ブックマークを使用してください。

  1. この記事の末尾にある「References」セクションには、影響を受けるWebサイトのリストが含まれています。
  2. 参考文献:

Heart Bleed:Webサイト

OpenSSL:Heart Bleedのセキュリティアドバイザリ

Git Hub:影響を受けるWebサイトの一覧