ビデオ: ACQUAã®ããã12æ19æ¥äºåã ã¼ãã¼ (九月 2024)
今週のニュースは、ハッカーが影響を受けるセキュアサーバーのメモリから直接データを収集することを可能にするHeartbleedバグの議論で占められています。 キャプチャされたデータには、暗号化キー、パスワード、および安全性の高いHTTPSチャネルを介して送信されたデータが含まれます。 このバグは2年以上存在しており、攻撃が痕跡を残さないため、どの程度悪用されているのかわかりません。
誰が脆弱ですか?
LastPassのパスワードウィザードは、製品のセキュリティチェックレポートに新しいしわを追加しました。 現在、脆弱なパスワードと重複するパスワードにフラグを付けることに加えて、Heartbleedに対して脆弱な、または脆弱だった保存済みサイトをリストします。 他の多くのLastPassユーザーに、そのレポートの結果を送信するように依頼しました。
LastPassには200以上のパスワードが保存されています。 そのうち6つだけが脆弱であると報告され、2つはすでにパッチが適用されていました。 同僚からの結果を追加すると、脆弱なサイトが50個あり、そのうち30個はまだパッチが適用されていません。
LastPassレポートでは、バグを修正するためにパッチが適用されたサイトのパスワードを変更することを推奨しています。 他の人にとっては、新しいパスワードがまだ脆弱であるため、サイトが更新を発表するまで待つことをお勧めします。 私自身は、ハートブリードをモーニングコールとしてすべてのパスワードを変更することをお勧めします。すべてのパスワードを強化し、2つのサイトが同じパスワードを使用しないようにします。 脆弱性が残っているサイトは、修正後に再度パスワードを変更する必要がありますが、それらをすべて変更すると、露出の可能性が最小限に抑えられます。
トップショップ
別の見方として、Alexaのトップ20の最も人気のあるショッピングサイトを取り上げ、オンラインテストをいくつか実施しました。 研究者のフィリッポ・ヴァルソルダは、ハートブリードのニュースが発表された直後にテストを作成しました。 LastPassはオンデマンドテストもホストしています
Valsordaのテスト結果は少しわかりにくいと感じました。 テストでは、私が試した20のサイトのうち5つについて、「パイプが壊れています」または「I / Oタイムアウト」などのエラーメッセージが返されました。 テストでは「修正済みまたは影響を受けていない」と報告されたため、9つのサイトがクリーンヘルスを取得しました。 残りの6つは、接続がコンテンツ配信ネットワークにハンドオフされ、CDNの証明書が入力したドメインと一致しなかったため、エラーメッセージを返しました。 証明書を無視するチェックボックスをオンにすると、これらすべてが「修正済みまたは影響を受けていない」結果になりますが、テストページではこれが誤った結果である可能性があると警告しています。
LastPassが提供するテストページには、さらに多くの情報が記載されています。 10のサイトが安全でない可能性があると報告しました。 つまり、このテストでは、サイトがOpenSSL(Heartbleedバグの影響を受ける暗号化ライブラリ)を使用しているかどうかを判断できませんでした。 4つのサイトはおそらくOpenSSLを使用しているため脆弱性があり、そのうち2つは安全です。 他の4つのサイトは間違いなく脆弱ではなく、間違いなく脆弱だった1つのサイトは現在安全です。 これにより、接続エラーのために分析できなかったサイトが1つだけ残ります。
LastPass Heartbleedテスターは、各サイトのSSL証明書が変更された時期も報告します。 Heartbleedに関するニュースが破られた直後に変更された証明書は、サイトが影響を受けたが、現在は安全であるというかなり良い兆候です。
ステータスが不明なすべてのサイトに関しては、サイト自体からの発表を待つのが最善の策です。 ただし、注意してください。 電子メールで受け取ったパスワードリセットリンクをクリックしないでください。一部のリンクは詐欺であるためです。 サイトに直接移動し、パスワードを変更し、パスワードマネージャーが変更を確実に受け取るようにします。
ここで、ハートブリードのバグに関するPCMagの進行中の報道に追いついてください。
