Однією з найвідоміших уразливостей середини 2010-х років була «Heartbleed». Heartbleed був особливо серйозним, оскільки його програмне забезпечення вплинуло на «OpenSSL», головну криптографічну бібліотеку для з'єднань HTTPS, які дуже широко використовуються. Що ще гірше, уразливість була присутня в OpenSSL більше двох років, перш ніж її виявили, оприлюднили та виправили, що означало, що багато людей використовували вразливу версію.
Heartbleed була вразливістю до витоку даних у розширенні heartbeat, яке при експлуатації витікало дані з RAM із сервера на клієнта. Розширення heartbeat використовується для підтримки з'єднання між веб-сервером і клієнтом без виконання звичайного запиту сторінки.
У разі OpenSSL клієнт надсилає повідомлення на сервер і повідомляє серверу про тривалість повідомлення, до 64 КБ. Після цього сервер повинен відтворити те саме повідомлення. Але найважливіше те, що сервер насправді не перевіряв, чи було повідомлення таким довгим, як стверджував клієнт. Це означало, що клієнт міг надіслати повідомлення розміром 10 КБ, стверджувати, що це 64 КБ, і отримати відповідь 64 КБ, а додаткові 54 КБ складатимуться з наступних 54 КБ оперативної пам’яті, незалежно від того, які дані там зберігалися. Цей процес добре візуалізується коміксом XKCD #1354 .
Зображення надано xkcd.com .
Роблячи багато невеликих запитів на серцевий ритм і стверджуючи, що вони великі, зловмисник може створити картину більшої частини оперативної пам’яті сервера, об’єднавши відповіді. Дані, які зберігаються в RAM, які можуть бути витоком, включають ключі шифрування, сертифікати HTTPS, а також незашифровані дані POST, такі як імена користувачів та паролі.
Примітка: він менш відомий, але протокол серцевого ритму та експлойт також працювали в іншому напрямку. Шкідливий сервер міг бути налаштований на читання до 64 КБ пам’яті користувача за запит на серцевий ритм.
Проблема була виявлена кількома дослідниками безпеки незалежно один від одного першого квітня 2014 року та була розкрита приватно OpenSSL, щоб можна було створити виправлення. Помилка була оприлюднена, коли виправлення було випущено 7 квітня 2014 року. Найкращим рішенням для вирішення проблеми було застосування виправлення, але також можна було виправити проблему, відключивши розширення серцевого ритму, якщо негайне виправлення не було варіант.
На жаль, незважаючи на те, що експлойт був загальнодоступним і загальновідомим, багато веб-сайтів все ще не оновлювалися відразу, а вразливість все ще час від часу виявлялася навіть через роки. Це призвело до низки випадків використання експлойту для отримання доступу до облікових записів або витоку даних.
Змініть швидкість будь-якого відео на Android безкоштовно за допомогою цього корисного додатка. Додайте ефект уповільненого та прискореного відтворення до одного й того ж відео.
Розважайтеся на своїх зустрічах у Zoom за допомогою кількох кумедних фільтрів, які ви можете спробувати. Додайте ореол або виглядайте як єдиноріг на своїх зустрічах у Zoom за допомогою цих кумедних фільтрів.
Немає стовідсотково надійного способу перевірити, чи хтось справді онлайн у Facebook, коли здається, що він офлайн.
Якщо вам не подобається ідея того, що всі користувачі Facebook можуть бачити фотографії, на яких вас позначено, ви можете приховати їх у своїй стрічці. Ви можете налаштувати це.
Щоб отримувати сповіщення, коли хтось публікує щось у Facebook, перейдіть у налаштування та ввімкніть сповіщення. Потім додайте цю людину до списку близьких друзів.
Пошук потрібної картки для оплати в кишені чи гаманці може бути справжньою проблемою. Протягом останніх кількох років різні компанії...
Samsung Galaxy Z Fold 5, завдяки своєму інноваційному складаному дизайну та передовим технологіям, пропонує різні способи підключення до ПК. Незалежно від того, чи ви
Google Meet – чудова альтернатива іншим додаткам для відеоконференцій, таким як Zoom. Він може не мати тих самих функцій, але ви все одно можете використовувати інші. Ви можете розпочати сеанс Google Meet безпосередньо зі сторінки Gmail. Дізнайтеся, як це зробити, виконавши ці кроки.
Дізнайтеся, як можна визначити певний колір за допомогою вбудованого інструменту у Firefox без використання стороннього програмного забезпечення.
Веб-версія WhatsApp не працює? Не хвилюйтеся. Ось кілька корисних порад, які ви можете спробувати, щоб WhatsApp знову запрацював.
