昨日、Heartbleed 脆弱性に関するニュースがインターネット上で白熱した議論を巻き起こしました。 OpenSSL プロジェクトで発見されたこの脆弱性により、攻撃者はさまざまな暗号化されたネットワーク データ送信からユーザー情報を盗むことができます。OpenSSL は Web サーバー、メール プロトコル、通信プロトコルで広く使用されているため、影響を受けるユーザーの数を一度に見積もることは困難です。 Heartbleed 脆弱性について話す前に、OpenSSL とは何かについて話す必要があります。ただし、OpenSSL は SSL と密接に関連しており、SSL セキュリティ プロトコルはおそらくユーザーが最もよく目にするプロトコルであるため、SSL の紹介から始めます。 ブラウザで Gmail や QQ メールボックスをよく使用するユーザーの場合、注意して見ると、IE または Chrome ブラウザのどちらを使用しても、メールボックスのログイン インターフェイスに入ると、ブラウザのアドレス バーが https になるのに対し、通常の Web ページは基本的に http で始まることに気付くでしょう。追加の s は「secure」の略語です。これは、ユーザーとサーバー間の通信が暗号化されていることを意味します。このような暗号化は、パスワードや個人情報が関わるあらゆる種類のネットワーク製品に必要です。 Https 伝送プロトコルが http よりも安全である理由は、SSL レイヤーが追加されているためです。SSL の正式名称は Secure Sockets Layer で、Netscape が Web ブラウザの最初のバージョンをリリースしたときに提案したセキュリティ プロトコルです。その目的は、ネットワーク通信のセキュリティとデータの整合性を確保し、クライアントとサーバー アプリケーション間の通信が攻撃者にハッキングされないようにすることです。 SSL によるクライアントとサーバー間の通信プロセスでは、セキュリティを確認するために公開鍵、秘密鍵、証明書などの複数のファイルが必要になる場合があります。OpenSSL スイートは、SSL プロトコルを実装し、一般的に使用される鍵と証明書のパッケージ管理機能を提供できます。オープンソースとクロスプラットフォームの特性と相まって、多くの開発者の選択肢になります。 OpenSSL は SSL プロトコルをサポートする必要はありませんが、OpenSSL は広く使用されているため、Heartbleed 脆弱性は当然ながら広範囲に影響を及ぼしました。 Codenomicon と Google Security のセキュリティ研究者によって最初に発見された Heartbleed 脆弱性により、攻撃者は OpenSSL を使用するサーバーのメモリから最大 64kb のデータをリモートで読み取ることができます。さらに、攻撃者は必要な限り、必要なデータが見つかるまで脆弱なサーバーから繰り返し読み取ることができます。 64KB のデータはそれほど大きくないように思えますが、オンラインで公開された写真を見ると、ユーザー名、パスワード、個人情報など多くの機密情報が含まれていることがわかります。これに伴い、WeChatパブリックアカウント、WeChatウェブ版、YY言語、Taobao、Momoなどの国内ネットワークサービスも影響を受けています。 現在、OpenSSLは正式に修正版をリリースしており、国内の大手メーカーも多数、脆弱性を速やかに修正しています。したがって、ユーザーはあまり心配する必要はありません。さらに、疑わしいユーザーのために、インターネット上にはオンライン脆弱性検出ツールを提供する開発者がいます。ユーザーは Filippo にログインして、アクセスした Web サイトが安全かどうかを確認できます。 しかし、問題を抱えたサービスプロバイダーは徐々にサービスの修復を進めており、OpenSSLの修復版もリリースされているものの、問題は完全に解決されたわけではない。Heartbleed脆弱性を悪用した攻撃はログ情報を残さないため、ほとんどのサービスプロバイダーはユーザーデータがどれだけ盗まれたか把握できず、当然その後の保護作業に支障をきたすことになる。ユーザーの皆様は、脆弱性発生時に暗号化サービスを使用しているサイトにログインし、重要な個人情報を入力した場合は、安全上の理由からご自身でアカウント情報を変更することをお勧めします。 Heartbleed脆弱性事件は、ネットワークセキュリティの脆弱性を改めて証明しました。もちろん、セキュリティを重視するメーカーにとっては、これは基本サービスをアップグレードし、セキュリティの強度を高める機会にもなります。これは、この深刻なセキュリティ上の脅威によってもたらされた数少ない「利益」の 1 つであると思われます。 原題: 今日のインターネットで最も危険な脆弱性、Heartbleed バグに直面、知っておくべきセキュリティ問題 キーワード: 脆弱性、セキュリティ、OpenSSL、バグ |
<<: Huobi.comは、18日までにICBCの口座を解約するよう求める通知を受けたと発表した。
>>: オンライン広告トラフィックの 3 分の 1 は、機械によって生成された偽のトラフィックです。あなたの上司はこれを知っていますか?
Siteground は 19 周年を記念して特別プロモーションを開始し、クラウド ホスティングを ...
Akkocloud は、ドイツの 3 つのネットワークの CN2 GIA ハイエンド ラインを使用す...
この問題の根本的な原因は、上司が出張中で、私が一週間何もせず、外部リンクを投稿せず、ニュースを更新し...
モバイル インターネットがもたらした新しい人口ボーナスが消滅したことにより、モバイル インターネット...
海外メディアの報道によると、オラクル社は先日、2021年度第3四半期の財務報告を発表した。財務報告に...
中国の電子商取引のリーダーとして、アリババは自社の発展の機会を正確に把握できるだけでなく、利用可能な...
南方日報(記者/趙炳慧)スマートフォンの急速な発展により、医療電子商取引はそこに潜むチャンスに気づき...
モグジエは、今四半期は初めて四半期利益を達成したと発表したが、調整後の利子・税金・減価償却前利益(E...
2018年最もホットなプロジェクト:テレマーケティングロボットがあなたの参加を待っていますA5 St...
SEO に触れたことのある人なら、ソフト記事の鋭い武器を知っているでしょう。検索エンジン最適化、広告...
ウェブサイト、特に電子商取引ウェブサイトでは、すべての運用データを分析して、トラフィックの増加、コン...
1. オンライン金融詐欺が再燃: サンシャイン・プライベート・エクイティは「ハッキング」されたと訴え...
ufovps は毎年恒例の年中特別プロモーションを実施し、すべての VPS サービスが 20% オフ...
Bandwagonhostの謎が明らかになりました。Bandwagonhostの香港VPSがついにオ...