Сайтуудын тал хувь нь
/flickr/
ПУДЛ
Довтолгооны талаар анх удаа
Үүний мөн чанар нь дараах байдалтай байна: хакер нь үйлчлүүлэгчийг SSL 3.0-ээр холбогдож, холболтын тасалдлыг дуурайдаг. Дараа нь шифрлэгдсэн хэлбэрээр хайна
SSL 3.0 бол хуучирсан протокол юм. Гэхдээ түүний аюулгүй байдлын асуудал одоо ч хамааралтай хэвээр байна. Үйлчлүүлэгчид сервертэй нийцтэй байдлын асуудлаас зайлсхийхийн тулд үүнийг ашигладаг. Зарим мэдээллээр бол хамгийн алдартай 7 мянган сайтын бараг 100% нь
Өөрийгөө хэрхэн хамгаалах вэ. Анхны POODLE-ийн хувьд та SSL 3.0 дэмжлэгийг идэвхгүй болгох хэрэгтэй. Гэсэн хэдий ч, энэ тохиолдолд нийцтэй байдлын асуудал үүсэх эрсдэлтэй. Өөр шийдэл нь TLS_FALLBACK_SCSV механизм байж болох бөгөөд энэ нь SSL 3.0-ээр дамжуулан өгөгдөл солилцохыг зөвхөн хуучин системүүдээр хийх боломжийг олгодог. Халдагчид протоколын зэрэглэлийг дахин эхлүүлэх боломжгүй болно. Zombie POODLE болон GOLDENDOODLE-ээс хамгаалах арга бол TLS 1.2-д суурилсан програмуудын CBC дэмжлэгийг идэвхгүй болгох явдал юм. Үндсэн шийдэл бол TLS 1.3 руу шилжих явдал юм - протоколын шинэ хувилбар нь CBC шифрлэлтийг ашигладаггүй. Үүний оронд илүү удаан эдэлгээтэй AES болон ChaCha20 ашигладаг.
BEAST
1.0 онд илрүүлсэн SSL болон TLS 2011-д хийсэн хамгийн анхны халдлагуудын нэг. ПҮҮДЛ, АРАААТАЙ шиг
Өнөөдрийн байдлаар BEAST-ийн эмзэг байдал хэвээр байна
Өөрийгөө хэрхэн хамгаалах вэ. Халдагчид өгөгдлийн шифрийг тайлах хүсэлтийг тогтмол илгээх шаардлагатай болдог. VMware дээр
ЖАВАХ
Энэ нь 2 битийн RSA түлхүүрээр SSLv40-г хэрэгжүүлэхэд гарсан алдаануудыг ашигладаг протокол хоорондын халдлага юм. Халдагч нь зорилтот бүлгийн хэдэн зуун TLS холболтыг сонсож, ижил хувийн түлхүүрийг ашиглан тусгай пакетуудыг SSLv2 сервер рүү илгээдэг. Ашиглаж байна
DROWN анх 2016 онд мэдэгдэж байсан - дараа нь энэ нь болсон
Өөрийгөө хэрхэн хамгаалах вэ. SSLv2 дэмжлэгийг идэвхгүй болгодог криптографийн сангуудын хөгжүүлэгчдийн санал болгосон засваруудыг суулгах шаардлагатай. Жишээлбэл, OpenSSL-д зориулж ийм хоёр засварыг танилцуулсан (2016 онд
"Хэрэв түлхүүрүүдийг нь шуудангийн сервер гэх мэт SSLv2-тэй гуравдагч талын сервер ашигладаг бол нөөц нь DROWN-д өртөж болзошгүй" гэж хөгжлийн хэлтсийн дарга тэмдэглэв.
IaaS үйлчилгээ үзүүлэгч 1cloud.ru Сергей Белкин. — Хэд хэдэн сервер нийтлэг SSL сертификат ашигладаг бол ийм нөхцөл байдал үүсдэг. Энэ тохиолдолд та бүх машин дээрх SSLv2 дэмжлэгийг идэвхгүй болгох хэрэгтэй."
Та тусгай програм ашиглан системээ шинэчлэх шаардлагатай эсэхийг шалгаж болно
Сэтгэл зүрхтэй
Програм хангамжийн хамгийн том сул талуудын нэг нь
Энэхүү халдлагыг жижиг Heartbeat TLS өргөтгөлийн модулиар дамжуулан хэрэгжүүлдэг. TLS протокол нь өгөгдлийг тасралтгүй дамжуулахыг шаарддаг. Удаан хугацаагаар зогссон тохиолдолд завсарлага үүсч, холболтыг дахин сэргээх шаардлагатай болдог. Асуудлыг даван туулахын тулд серверүүд болон үйлчлүүлэгчид сувгийг зохиомлоор "чимээдэг" (
Энэ эмзэг байдал нь номын сангийн 1.0.1-ээс 1.0.1f хүртэлх бүх хувилбарт, мөн хэд хэдэн үйлдлийн системд байсан - Ubuntu 12.04.4 хүртэл, CentOS 6.5-аас хуучин, OpenBSD 5.3 болон бусад. Бүрэн жагсаалт байна
Өөрийгөө хэрхэн хамгаалах вэ. Энэ нь зайлшгүй шаардлагатай
Сертификат солих
Хэрэглэгч болон серверийн хооронд хууль ёсны SSL сертификат бүхий удирддаг зангилаа суулгаж, траффикийг идэвхтэй саатуулдаг. Энэ зангилаа нь хүчинтэй гэрчилгээ үзүүлснээр хууль ёсны серверийн дүрийг үзүүлэх бөгөөд MITM халдлага хийх боломжтой болно.
Дагуу
Өөрийгөө хэрхэн хамгаалах вэ. Найдвартай үйлчилгээг ашиглана уу
Хамгаалалтын өөр нэг арга нь шинэ байх болно
/flickr/
HTTPS-ийн хэтийн төлөв
Хэд хэдэн эмзэг байдлыг үл харгалзан мэдээллийн технологийн аваргууд болон мэдээллийн аюулгүй байдлын мэргэжилтнүүд протоколын ирээдүйд итгэлтэй байна. HTTPS-ийг идэвхтэй хэрэгжүүлэхэд зориулагдсан
Мөн машин сургалтыг ашиглан SSL/TLS технологийг хөгжүүлэхээр төлөвлөж байна - ухаалаг алгоритмууд нь хортой урсгалыг шүүх үүрэгтэй. HTTPS холболтын тусламжтайгаар администраторууд шифрлэгдсэн мессежийн агуулгыг олж мэдэх, үүнд хортой програмаас ирсэн хүсэлтийг илрүүлэх боломжгүй болно. Өнөөдөр мэдрэлийн сүлжээ нь аюултай байж болзошгүй пакетуудыг 90% -ийн нарийвчлалтайгаар шүүх чадвартай болсон. (
үр дүн нь
HTTPS-ийн ихэнх халдлага нь протоколтой холбоотой асуудал биш, харин хуучирсан шифрлэлтийн механизмыг дэмжихтэй холбоотой байдаг. Мэдээллийн технологийн салбар нь өмнөх үеийн протоколуудаас аажмаар татгалзаж, эмзэг байдлыг хайх шинэ хэрэгслийг санал болгож байна. Ирээдүйд эдгээр хэрэгслүүд улам бүр ухаалаг болох болно.
Сэдвийн нэмэлт холбоосууд:
Үүлэн дэх хөгжил, мэдээллийн аюулгүй байдал, хувийн мэдээлэл: 1cloud-аас боловсруулалт SSL тойм: Habré болон бусад зүйлсийн шилдэг практик материалууд VPN тойм: Хабре болон бусад зүйлийн талаархи танилцуулга нийтлэлүүд
Эх сурвалж: www.habr.com