2010. aastate keskpaiga üks tuntumaid turvaauke kandis nime “Heartbleed”. Heartbleed oli eriti tõsine, kuna see mõjutas tarkvara OpenSSL-i, peamist krüptograafilist raamatukogu HTTPS-ühenduste jaoks, mida kasutatakse väga laialdaselt. Asja teeb hullemaks see, et haavatavus oli OpenSSL-is olemas juba üle kahe aasta enne selle avastamist, avalikustamist ja parandamist, mis tähendas, et paljud inimesed kasutasid haavatavat versiooni.
Heartbleed oli andmelekke haavatavus südamelöögilaiendis, mille ärakasutamisel lekkis andmed RAM-ist serverist kliendile. Südamelöögi laiendust kasutatakse veebiserveri ja kliendi vahelise ühenduse säilitamiseks ilma tavalist lehepäringut tegemata.
OpenSSL-i puhul saadab klient serverile sõnumi ja annab serverile teada sõnumi pikkusest kuni 64KB. Seejärel peaks server sama sõnumit tagasi saatma. Oluline on aga see, et server ei kontrollinud, kas sõnum oli nii pikk, kui klient seda väitis. See tähendas, et klient võis saata 10 KB suuruse sõnumi, väita, et see on 64 KB, ja saada 64 KB vastuse, kusjuures 54 KB lisati järgmisest 54 KB RAM-ist, olenemata sellest, milliseid andmeid sinna salvestati. Seda protsessi visualiseerib hästi XKCD koomiks #1354 .
Pilt saidi xkcd.com loal .
Tehes palju väikeseid südamelöögipäringuid ja väites, et need on suured, saab ründaja vastused kokku liites luua pildi enamikust serveri RAM-ist. RAM-i salvestatud andmed, mis võivad lekkida, hõlmavad krüpteerimisvõtmeid, HTTPS-sertifikaate ja ka krüptimata POST-andmeid, nagu kasutajanimed ja paroolid.
Märkus. See on vähem tuntud, kuid südamelöögiprotokoll ja ärakasutamine töötasid ka teises suunas. Pahatahtlik server oleks võinud olla konfigureeritud lugema kuni 64 KB kasutaja mälu ühe südamelöögipäringu kohta.
Mitmed turbeuurijad avastasid probleemi iseseisvalt 2014. aasta esimesel aprillil ja see avalikustati privaatselt OpenSSL-ile, et saaks luua paiga. Vea avalikustati, kui plaaster avaldati 2014. aasta seitsmendal aprillil. Parim lahendus probleemi lahendamiseks oli plaastri rakendamine, kuid probleemi oli võimalik lahendada ka südamelöögilaienduse keelamisega, kui kohene paikamine ei olnud vajalik. valik.
Kahjuks, hoolimata sellest, et ärakasutamine on avalik ja üldiselt tuntud, ei värskendatud paljusid veebisaite ikka veel kohe ja haavatavust leitakse aeg-ajalt isegi aastaid hiljem. See tõi kaasa mitmeid juhtumeid, kus ärakasutamist kasutati kontodele juurdepääsu saamiseks või andmete lekkimiseks.
Kas olete kunagi kulutanud aega Facebooki postituse loomisele, kuid ei leidnud mustandit? Siit leiate kõik vajalikud teadmised, et Facebooki mustandite leidmine oleks lihtne ja mugav.
Internetis navigeerimine tundub sageli nagu reis teadmiste piiritusse ookeani, kus teie lemmikveebisaidid ja -veebilehed on tuttavad
Kasutage Microsoft Edge Dropi ja jagage hõlpsalt faile ja sõnumeid seadmete vahel, järgides neid algajasõbralikke samme.
Vaadake, kui lihtne on arvutis ja Android-seadmes Google Mapsis marsruute salvestada ja jagada. Vaadake neid algajasõbralikke samme.
Funktsiooniga seotud probleemide lahendamiseks ja kasutamata vahelehtede uuesti laadimise vältimiseks lülitage Google Chrome'is mälusäästja välja.
Kas otsite elujõulist võimalust veebisaidi hostimiseks? Siit saate teada, mis vahe on pühendatud serveri ja jagatud hostimisserveri vahel.
Google Chromesi inkognito režiim on mugav funktsioon, mis võimaldab teil sirvida Internetti ilma sirvimisajalugu salvestamata. Siiski üks puudus
Mulle meeldib oma naabreid lõbustada, muutes oma WiFi-võrgu erinevate naljakate nimede vastu. Kui otsite ideid naljaka WiFi-nime jaoks, siis siin
Sügav linkimine on populaarsust koguv kasutajate ümbersuunamise tehnika. Siit leiate teavet sügava linkimise kohta, et kasutada seda oma veebisaidi või rakenduse liikluse suurendamiseks.
AR on meelelahutuse, töö või äri jaoks Internetis järgmine suur asi. Õppige üksikasjalikult AR-pilve, et saada teadlikuks kasutajaks.
