セキュリティ研究者は、インターネット上の多くのWebサイトを保護する暗号化ソフトウェアライブラリであるOpenSSLに深刻な脆弱性を発見しました。それがあなたにとって意味のあるもの、平均的なユーザーです。
ここには多くの技術情報とニュアンスがありますが、これをできるだけ簡単に理解できるようにしようとしています。あなたがより技術に精通しているなら、私は読むことを強くお勧めしますここのハートベッドFAQ、問題に関するより多くの情報を提供します。
OpenSSLとHeartbleedとは何ですか?
OpenSSLは、SSLとTLSのオープンソースの実装であり、安全なプロトコルですあなたがウェブ上で見るものの多く。最近、2年以上にわたってOpenSSLに存在してきた重要なバグが発見されました。これにより、インターネット上の誰もが、一見安全なWebサイトに送信する名前、パスワード、コンテンツを明らかにする可能性があります。ご想像のとおり、これは大したことです。 (バグの仕組みに興味がある場合は、チェックしてください姉妹サイトGizmodoからのこの投稿)。
どのサイトとサービスが影響を受けますか?
Heartbleed Bugは、現在知られているように、OpenSSL(1.0.1〜1.0.1F)の特定のバージョンを実行しているサイトやサービスに影響します。多くのサイトでは、脆弱ではないOpenSSLの古いバージョンを実行する可能性があり、多くのサイトがすでに固定バージョンに更新されている可能性があります。さらに、すべてのサイトとサービスがOpenSSLを使用しているわけではありません。たとえば、1Passwordはさまざまな手段で情報を保護します。 LastPassはOpenSSLを使用し、(今朝まで)脆弱でしたが、マシンで発生する余分な暗号化のために、LastPassは、データはまだ安全だと言います。
Webの66%以上がOpenSSLを使用しているため、Webのかなりの部分が脆弱であると推定されています。特定のサイトを使用してテストできますこのツール、ただし、過去のどの時点でもサイトが以前に脆弱であったかどうかは答えません。あなたはできるここで影響を受けたサイトのリストを見つけてください(以下の詳細)。
平均的なユーザーである私は何ができますか?
残念ながら、これについてできることはあまりありません。この問題を修正する唯一の方法は、脆弱なサイトがOpenSSLを更新し、セキュリティ証明書を再発行することです。
可能であれば、修正を通知するまで、脆弱なサイトやサービスへの接続を避けてください。パスワードの変更は、サイトがバグを修正するまで役に立たないので、パスワードを変更する前に、お気に入りのサイトからの確認を待ちます。確認がある場合は、パスワードを監査して更新しますいつものように。サイトが脆弱ではなく、ステートメントを発行しない場合は、過去に脆弱だった場合に備えてパスワードを変更してください。結局のところ、それは傷つくことはできません。更新:LastPass現在、ツールがありますこれにより、どのパスワードを変更するかを知ることができます。 Mashableも持っています良いリストチェックするサービスの。素晴らしい!
これは、何が起こっているのか、それがあなたにどのように影響するかの本当に基本的な要約にすぎません。私たちが言ったように、あなたがもう少し技術的に心を持っているなら、この心臓の吸引FAQ何が起こっているのかについて、いくつかの技術情報があります。それ以外に、ユーザーができる最善のことは、待って警戒することです。