インターネット上で最も危険な脆弱性であるHeartbleedバグに直面して、知っておくべきセキュリティ問題

インターネット上で最も危険な脆弱性であるHeartbleedバグに直面して、知っておくべきセキュリティ問題

昨日、Heartbleed 脆弱性に関するニュースがインターネット上で白熱した議論を巻き起こしました。 OpenSSL プロジェクトで発見されたこの脆弱性により、攻撃者はさまざまな暗号化されたネットワーク データ送信からユーザー情報を盗むことができます。OpenSSL は Web サーバー、メール プロトコル、通信プロトコルで広く使用されているため、影響を受けるユーザーの数を一度に見積もることは困難です。

Heartbleed 脆弱性について話す前に、OpenSSL とは何かについて話す必要があります。ただし、OpenSSL は SSL と密接に関連しており、SSL セキュリティ プロトコルはおそらくユーザーが最もよく目にするプロトコルであるため、SSL の紹介から始めます。

ブラウザで Gmail や QQ メールボックスをよく使用するユーザーの場合、注意して見ると、IE または Chrome ブラウザのどちらを使用しても、メールボックスのログイン インターフェイスに入ると、ブラウザのアドレス バーが https になるのに対し、通常の Web ページは基本的に http で始まることに気付くでしょう。追加の s は「secure」の略語です。これは、ユーザーとサーバー間の通信が暗号化されていることを意味します。このような暗号化は、パスワードや個人情報が関わるあらゆる種類のネットワーク製品に必要です。

Https 伝送プロトコルが http よりも安全である理由は、SSL レイヤーが追加されているためです。SSL の正式名称は Secure Sockets Layer で、Netscape が Web ブラウザの最初のバージョンをリリースしたときに提案したセキュリティ プロトコルです。その目的は、ネットワーク通信のセキュリティとデータの整合性を確保し、クライアントとサーバー アプリケーション間の通信が攻撃者にハッキングされないようにすることです。

SSL によるクライアントとサーバー間の通信プロセスでは、セキュリティを確認するために公開鍵、秘密鍵、証明書などの複数のファイルが必要になる場合があります。OpenSSL スイートは、SSL プロトコルを実装し、一般的に使用される鍵と証明書のパッケージ管理機能を提供できます。オープンソースとクロスプラットフォームの特性と相まって、多くの開発者の選択肢になります。

OpenSSL は SSL プロトコルをサポートする必要はありませんが、OpenSSL は広く使用されているため、Heartbleed 脆弱性は当然ながら広範囲に影響を及ぼしました。 Codenomicon と Google Security のセキュリティ研究者によって最初に発見された Heartbleed 脆弱性により、攻撃者は OpenSSL を使用するサーバーのメモリから最大 64kb のデータをリモートで読み取ることができます。さらに、攻撃者は必要な限り、必要なデータが見つかるまで脆弱なサーバーから繰り返し読み取ることができます。

64KB のデータはそれほど大きくないように思えますが、オンラインで公開された写真を見ると、ユーザー名、パスワード、個人情報など多くの機密情報が含まれていることがわかります。これに伴い、WeChatパブリックアカウント、WeChatウェブ版、YY言語、Taobao、Momoなどの国内ネットワークサービスも影響を受けています。

現在、OpenSSLは正式に修正版をリリースしており、国内の大手メーカーも多数、脆弱性を速やかに修正しています。したがって、ユーザーはあまり心配する必要はありません。さらに、疑わしいユーザーのために、インターネット上にはオンライン脆弱性検出ツールを提供する開発者がいます。ユーザーは Filippo にログインして、アクセスした Web サイトが安全かどうかを確認できます。

しかし、問題を抱えたサービスプロバイダーは徐々にサービスの修復を進めており、OpenSSLの修復版もリリースされているものの、問題は完全に解決されたわけではない。Heartbleed脆弱性を悪用した攻撃はログ情報を残さないため、ほとんどのサービスプロバイダーはユーザーデータがどれだけ盗まれたか把握できず、当然その後の保護作業に支障をきたすことになる。ユーザーの皆様は、脆弱性発生時に暗号化サービスを使用しているサイトにログインし、重要な個人情報を入力した場合は、安全上の理由からご自身でアカウント情報を変更することをお勧めします。

Heartbleed脆弱性事件は、ネットワークセキュリティの脆弱性を改めて証明しました。もちろん、セキュリティを重視するメーカーにとっては、これは基本サービスをアップグレードし、セキュリティの強度を高める機会にもなります。これは、この深刻なセキュリティ上の脅威によってもたらされた数少ない「利益」の 1 つであると思われます。


原題: 今日のインターネットで最も危険な脆弱性、Heartbleed バグに直面、知っておくべきセキュリティ問題

キーワード: 脆弱性、セキュリティ、OpenSSL、バグ

<<:  Huobi.comは、18日までにICBCの口座を解約するよう求める通知を受けたと発表した。

>>:  オンライン広告トラフィックの 3 分の 1 は、機械によって生成された偽のトラフィックです。あなたの上司はこれを知っていますか?

推薦する

タイプミスの最適化マーケティングに関するいくつかの意見

今日、台湾の友人(michaec)とマーケティングの詳細についてチャットしていたとき、タイプミスを通...

ビッグデータ スマート マーケティング ノートブックはいかがでしょうか?

最近、多くの友人が記者に「ビッグデータスマートマーケティングノートは役に立ちますか?」と尋ねました。...

究極の SEO 戦略: 安定性 + 関連性

最近、SEO とは何なのかという疑問について考えていました。本当に、毎日さまざまなブログやフォーラム...

7 つの分散型グローバル ID 生成戦略のうち、どれがお好みですか?

[[415300]]マイクロサービスを使用することで、グローバル ID の問題など、もともと単純だっ...

georgedatacenter: コスト効率の高いオランダの VPS、$7/KVM/8G メモリ/2 コア/50g SSD/2T トラフィック

georgedatacenter は、主に米国ダラスとオランダのアムステルダムのデータセンターで V...

中国インターネット広告市場調査レポート

この記事では、iResearch が発表した「中国のインターネット広告市場に関する年次調査レポート」...

ウェブサイトの直帰率を下げる方法についての簡単な分析

インターネット時代において、ネットユーザーは検索エンジンで欲しいものを探すことに慣れています。しかし...

クラウドコンピューティングエコシステムの新たな利点に関するシンポジウムが成功裏に開催されました

10月14日、中国科学技術協会社会サービスセンターの支援を受けて、「クラウドコンピューティングエコシ...

DangdangとYitaoが協力し、YiZhangTongにアクセスしてネットワーク全体の価格比較をサポート

Dangdang.comとeTao.comが共同で協力を発表(TechWeb写真) 【TechWeb...

マーケティングの罠分析: あなたも罠にかかっているかも

インターネットが隆盛を極めるこの時代、ますます人気が高まっているオンライン マーケティングは人々の注...

適応型ウェブデザインの手法

昨日の正午、Google はアダプティブ ウェブ デザインの概念と手法に関するオンライン レクチャー...

注目に値する海外SEOブログ5選

海外で注目に値するSEOブログ5選今回は、学習価値の高い海外SEOブログを5つご紹介します。 1) ...

2022 年にハイブリッドおよびマルチクラウド戦略を実装する際に考慮すべき重要な要素

調査によると、現在 56% の企業がマルチクラウドを導入しており、導入を計画している企業もいくつかあ...

顧客基盤が50倍に拡大したテンセントクラウドスターオーシャンは、企業のデジタル化の新たな「エンジン」となった。

流行の影響を受け、あらゆる分野でコスト削減、効率化、収益増加、支出削減を目指してデジタル変革が加速し...