En av de mest kända sårbarheterna i mitten av 2010-talet kallades "Heartbleed". Heartbleed var särskilt allvarligt eftersom det var programvaran den påverkade "OpenSSL", det huvudsakliga kryptografiska biblioteket för HTTPS-anslutningar, som används mycket. För att göra saken värre hade sårbarheten funnits i OpenSSL i mer än två år innan den upptäcktes, publicerades och lappades, vilket innebar att många människor använde en sårbar version.
Heartbleed var en sårbarhet för dataläckor i heartbeat-förlängningen som när den utnyttjades läckte data från RAM från servern till klienten. Heartbeat-tillägget används för att upprätthålla en anslutning mellan webbservern och klienten utan att göra en normal sidförfrågan.
I fallet med OpenSSL skickar klienten ett meddelande till servern och informerar servern om hur långt meddelandet är, upp till 64KB. Servern är sedan tänkt att eka samma meddelande tillbaka. Avgörande är dock att servern faktiskt inte kontrollerade att meddelandet var så långt som klienten påstod att det var. Detta innebar att en klient kunde skicka ett 10KB meddelande, hävda att det var 64KB och få ett 64KB svar, med de extra 54KB som bestod av nästa 54KB RAM, oavsett vilken data som lagrades där. Denna process är väl visualiserad av XKCD-serien #1354 .
Bild med tillstånd av xkcd.com .
Genom att göra många små hjärtslagsförfrågningar, och hävda att de var stora, kunde en angripare bygga en bild av det mesta av serverns RAM genom att sammanföra svaren. Data som lagras i RAM som kan läcka inkluderar krypteringsnycklar, HTTPS-certifikat samt okrypterade POST-data som användarnamn och lösenord.
Obs: Det är mindre känt men hjärtslagsprotokollet och utnyttjandet fungerade också åt andra hållet. En skadlig server kan ha konfigurerats för att läsa upp till 64KB användarminne per hjärtslagsbegäran.
Problemet upptäcktes av flera säkerhetsforskare oberoende den första april 2014 och avslöjades privat till OpenSSL så att en patch kunde skapas. Felet publicerades när patchen släpptes den sjunde april 2014. Den bästa lösningen för att lösa problemet var att applicera patchen, men det var också möjligt att åtgärda problemet genom att inaktivera heartbeat-förlängningen om patchningen omedelbart inte var en alternativ.
Tyvärr, trots att utnyttjandet är offentligt och allmänt välkänt, uppdaterade många webbplatser fortfarande inte omedelbart, med sårbarheten som fortfarande hittas ibland även år senare. Detta ledde till att ett antal fall av utnyttjandet användes för att få tillgång till konton eller läcka data.
Chrome, som standard, visar dig inte hela webbadressen. Du kanske inte bryr dig så mycket om denna detalj, men om du av någon anledning behöver den fullständiga webbadressen visas, detaljerade instruktioner om hur du får Google Chrome att visa hela webbadressen i adressfältet.
Reddit ändrade sin design ännu en gång i januari 2024. Omdesignen kan ses av datoranvändare och begränsar huvudflödet samtidigt som det tillhandahåller länkar
Att skriva ditt favoritcitat från din bok till Facebook är tidskrävande och fullt av fel. Lär dig hur du använder Google Lens för att kopiera text från böcker till dina enheter.
Påminnelser har alltid varit Google Homes stora höjdpunkt. De gör säkert vårt liv enklare. Låt oss ta en snabb rundtur om hur du skapar påminnelser på Google Home så att du aldrig missar att ta hand om viktiga ärenden.
Ibland, när du arbetar med Chrome, kan du inte komma åt vissa webbplatser och får felmeddelandet "Åtgärda serverns DNS-adress kunde inte hittas i Chrome". Så här kan du lösa problemet.
De säger att en persons hem är deras slott, men i Mojangs Minecraft kan du bygga ett slott som ditt hem. Oavsett om du bygger den i Nederländerna eller på ett berg, är de tjocka väggarna perfekta för att hålla folkmassor ute.
Läskvitton på Snapchat kan vara ett tveeggat svärd. Även om de ger feedback när ett meddelande har visats, kan de också skapa förväntningar och tryck på omedelbara svar.
När du skapar ett nytt Google Docs-dokument, tänker du på dess struktur i förväg. Vet du till exempel hur man lägger till sidor, en innehållsförteckning eller hur man numrerar sidorna.
Discord är en populär kommunikationsapp för spelare, men alla typer av människor använder den i stor utsträckning. Dess mest framträdande funktion är röstchatt, men du kan också skicka textmeddelanden, bilder och olika filer till individer eller hela samhällen.
Snapchat Streak eller Snapstreak är antalet dagar i följd du har bytt Snaps med din Snapchat-vän. Det visas bredvid vännernas namn i form av brand-emoji och ett nummer som representerar antalet dagar du höll kontakten via Snapchat-appen.
