Way*_*rad 9 security heartbleed
欢迎来到心血来潮之后的世界。我们已经修补了我们的服务器并正在更换我们的 SSL 证书。但仅仅因为我们的服务器是固定的,并不意味着互联网的其余部分是固定的。我们有员工,他们使用互联网交换信用卡号和登录凭据等机密。他们正在向我们寻求建议。
我们可以建议我们的客户使用Heartbleed 测试页面来查看他们想要访问的站点是否存在漏洞。如果一个站点返回正面,则不要与其交换机密。但是,如果一个网站没有不对Heartnet返回正数,然后根据情况可以是任意的:
有没有什么办法,我们可以给我们的员工,他们输入他们的信用卡号码前到表单,告诉良好的从场景坏的呢?
我们如何指导我们的员工尽量减少他们接触受 Heartbleed 破坏的服务器的风险?
本质上,不,没有一种方法可以区分好坏,因为您的用户无法完全了解他们正在使用的系统。
该漏洞造成的损害程度在很大程度上仍然未知,大部分损害可能是在过去造成的,并将在很长一段时间内继续影响互联网。我们只是不知道什么秘密被偷了,什么时候被偷了,被谁偷了。
例如:Google 的 OpenSSL 心脏流血了大约一年。未知的对手收集服务器并寻找有趣的秘密——同样,我们无法知道他们是否这样做了——直到他们找到属于有权访问另一个系统的人的帐户,比如 Twitter.com 或 AnyBank。 co.uk 或 dev.redhat.com。通过访问此类帐户,他们可能会继续挖掘、访问其他系统、造成其他损害(可见或不可见)、进一步危害其他帐户 - 没有人怀疑违规的根源。在这个阶段,您已经远离流血的 OpenSSL 服务器,这是 Heartbleed 的更严重后果之一。除此之外还有服务器私钥被泄露的风险。
信任需要很长时间才能建立,而且很快就会失去。我并不是说我们之前在互联网上没有信任问题,但 Heartbleed 绝对没有帮助。修复损坏需要很长时间,了解这一点是了解如何保护自己和员工/客户/老板等的一部分 - 以及如何不能。有些事情是您可以控制的,以限制您对漏洞的暴露,有些事情您无法控制——但它们仍然会影响到您。例如,您无法控制其他人决定如何应对此漏洞——据报道,美国国家安全局发现了该漏洞,但保持沉默。这对我们其他人来说非常糟糕,但我们没有办法保护我们免受它的侵害。
作为互联网用户,您可以而且应该:
检查您访问的有关 Heartbleed 的网站(不完整的清单):
服务器是否使用 OpenSSL?
服务器是否在无 Heartbleed 版本的 OpenSSL 上?确保您的 check-for-heartbleed-tool 实际检查漏洞而不是 HTTP 标头或其他一些“指标”。
以前版本的 OpenSSL 有 Heartbleed 吗?
在这里,我们回到信任:当你失去某人的信任时,这是一件坏事。特别是如果那个人是你的用户/客户/老板。要重新获得他们的信任,您必须重新开始构建,并打开对话。
以下是网络管理员可以发布的内容以开始使用:
如果之前版本的 OpenSSL 存在漏洞:
如果您是用户,您完全有权要求提供此类信息,为了服务的所有用户,您应该这样做。这将增加安全社区的可见性,并使用户更容易最大限度地减少对受感染服务器的暴露。
| 归档时间: |
|
| 查看次数: |
321 次 |
| 最近记录: |