Защо Heartbleed не трябва да ви кара да бързате да смените паролите... Все пак
Откриването на грешката в защитата на Heartbleed вкара паниката в мрежата с опустошителната уязвимост на OpenSSL.
По скала от 1 до 10 на интернет катастрофите това е чак до 11, според уважавания анализатор по сигурността Брус Шнайер, който не е склонен към маниакално преувеличаване.
Писък на „ПРОМЕНЕТЕ ВАШИТЕ ПАРОЛИ“ избухна от гърлото на сайтове, които издават уклончивманеври, но може да искате да спрете да ходите да нулирате паролата само за няколко дни.
Ето защо:
Както е обяснено от създатели на 1Password - което не е засегнато от Heartbleed - много сървъри не са поправили своята уязвимост и вероятно няма да стане за няколко дни, което означава, че новата парола, която създавате, все още може да бъде открадната и използвана в бъдеще.
„В един момент ще трябва да промените много пароли. Но все още не бързайте да го правите. Не всеки сървър е засегнат и тези, които трябва да поправят нещата в края си, преди да промените паролата си. Ако промените паролата си, преди сървърите да поправят нещата, новата ви парола също ще бъде уязвима за улавяне.
Всичко, което повечето от нас могат да направят, е да изчакат в този момент. Предполага се, че различни доставчици на услуги ще обявят през следващите няколко дни кога и дали потребителите трябва да сменят пароли или да знаят, че може да е разкрита друга поверителна информация. "
И така, какво отнема на доставчиците толкова време, за да поправят нещата?
Първо те трябва да разберат дали са уязвими, което изисква от тях да видят дали тяхната конкретна SSL/TLS услуга е на OPENSSL 1.0.1 - 1.0.1f. След като надстроят до фиксираната версия на OpenSSL (1.0.1g), те ще трябва да отменят старите сертификати и да подредят нещата с центровете за сертифициране, за да получат нов.
Следващите дни сертифициращите органи ще бъдат много, много заети.
Източник: AgileBits