Heartbleed:编码错误

由:

我相信每个人都收到了一封电子邮件,从几家在线服务提供商在过去的一周,要求您更改您的密码。

除非您在过去的两周内从互联网上居住或完全切断(第一个选择更有可能),除非您听说过一个名为“Heartbleed”的错误。CANDLY名称,对吗?!

每个人都被这个漏洞吓坏了,人们用“灾难性漏洞”或“主要安全漏洞”来描述它。尽管“心脏出血”是一种网络病毒,而不是真实的病毒,但它所引起的恐惧堪比病毒大流行。

好吧,为了理解这个漏洞是如何让数百万人恐惧的,让我们从基础开始。你有没有注意到“https”和一个锁定标志在左上角的网页像雅虎或谷歌?这是安全通信的标志。安全通信意味着客户端(您)和服务器之间的数据流是加密的。

“HTTPS”代表超文本传输​​协议,锁定是可以安全的。SSL代表安全套接字层,它用于安全通信协议。大多数网站用于实现安全通信的当前协议被称为打开SSL。每个程序都包含程序员在代码中使用的常用功能。当其他代码库可访问其他代码库时,它被称为开源。

程序中的编码错误可能导致计算机程序冻结,或者在窃听的情况下,泄漏存储信息。那么令人心碎的工作如何?包含eStrbleed的安全通信协议称为TLS(传输层安全性)。每个程序/协议都有规则。通过该规则由TLS协议操作的规则描述于RFC2546文件。基于这些规则,编码人员编写了用于安全通信的Open SSL的代码。

打开的SSL协议具有内置的功能,如果通信在两端仍处于活动状态,则在连接期间验证。

它是如何做到的?每次通信都有一个接收器和发件人。为确保连接是安全且活动的,一端(假设发件人)向接收器发送两件事:

  1. 一小段数据(最大64kb)
  2. 一个数字,指示发送的数据大小。

当接收器接收此通信时,理想情况下,它应该将完全相同的数据发送给发件人以确认连接处于活动状态。但是,因为令人心碎,“程序中令人难以置信的狡猾的错误”,这不会发生这种情况。

相反,让我们说23KB文件被发送到接收者,但是与它一起发送的号码,说明了50kb(即,描绘数据大小的数字大于数据的实际大小)。In this case, the receiver sends back two things: the data that it received from the sender (23kb) plus additional data (27kb) extracted from the system memory of the receiver’s computer to match up-to the number (50kb) depicting the size of the sent data.

系统内存是临时的,每次计算机关闭时都会重写。但是,登录名称,密码,服务器证书和用于安全连接的键是通常存储在系统内存中的少数内容中。这个错误被认为是如此危险的原因是因为虽然正在传送这个系统内存数据,但没有显示警告消息。如果计算机已被定位,则无法了解。

那么用户可以做些什么?一个预防措施,网站要求他们的用户采取的是改变他们的帐户的密码。在收到电子邮件表单后,您只需更改密码就会重要的是,网站要求您这样做。因为如果您更改了密码,网站尚未修复其安全连接的代码,则您的计算机仍将容易受到错误的影响。

所以你可能会想知道,我可以做些什么来保护自己在未来免受这种漏洞?一个名为“尾巴“可能是解决这个问题的解决方案。随着网站描述的,尾部是“梦想隐姓埋名的实时系统”,旨在保留隐私和匿名。此软件不需要安装在计算机上,并且可以通过DVD,USB棒或SD卡安装来访问。方便,对吗?

唯一的问题是,这个软件还在开发中,也很容易受到攻击。Tails使用一个名为Tor的程序。Tor通过将数据路由到由世界各地志愿者运行的计算机网络,使用户的互联网流量匿名。但这和朱利安·阿桑奇(Julian Assange)推出备受争议的维基解密网站所用的程序是一样的。

因此,如果你不希望自己的隐私受到侵犯,最好的选择就是不要使用互联网,因为没有什么是百分百安全的。

主题:

标签:

评论

添加新评论