අඩක් අඩවි , සහ ඔවුන්ගේ සංඛ්යාව ක්රමානුකූලව වැඩි වෙමින් පවතී. ප්රොටෝකෝලය මාර්ග තදබදයට බාධා කිරීමේ අවදානම අඩු කරයි, නමුත් උත්සාහ කළ ප්රහාර ඉවත් නොකරයි. අපි ඔවුන්ගෙන් සමහරක් ගැන කතා කරමු - POODLE, BEAST, DROWN සහ වෙනත් - සහ අපගේ ද්රව්යයේ ආරක්ෂණ ක්රම.
/flickr/ / CC BY-SA
පූඩ්ල්
ප්රහාරය ගැන පළමු වතාවට 2014 දී ප්රසිද්ධ විය. SSL 3.0 ප්රොටෝකෝලය තුළ ඇති අවදානමක් තොරතුරු ආරක්ෂණ විශේෂඥ Bodo Möller සහ Google හි සගයන් විසින් සොයා ගන්නා ලදී.
එහි සාරය පහත පරිදි වේ: හැකර් සේවාදායකයාට SSL 3.0 හරහා සම්බන්ධ වීමට බල කරයි, සම්බන්ධතා බිඳීම් අනුකරණය කරයි. ඊට පස්සේ encrypt කරපු එකේ search කරනවා - රථවාහන මාදිලියේ විශේෂ ටැග් පණිවිඩ. ව්යාජ ඉල්ලීම් මාලාවක් භාවිතා කරමින්, ප්රහාරකයෙකුට කුකීස් වැනි උනන්දුවක් දක්වන දත්තවල අන්තර්ගතය ප්රතිනිර්මාණය කිරීමට හැකි වේ.
SSL 3.0 යනු යල් පැන ගිය ප්රොටෝකෝලයකි. නමුත් ඔහුගේ ආරක්ෂාව පිළිබඳ ප්රශ්නය තවමත් අදාළ වේ. සේවාදායකයන් සමඟ ගැළපෙන ගැටළු මඟහරවා ගැනීමට සේවාදායකයින් එය භාවිතා කරයි. සමහර දත්ත වලට අනුව, වඩාත්ම ජනප්රිය අඩවි 7 න් 100% ක්ම පාහේ . එසේම වඩාත් නවීන TLS 1.0 සහ TLS 1.1 ඉලක්ක කරන POODLE වෙත වෙනස් කිරීම්. මෙම වර්ෂය TLS 1.2 ආරක්ෂාව මඟහරින නව Zombie POODLE සහ GOLDENDOODLE ප්රහාර (ඒවා තවමත් CBC සංකේතනය සමඟ සම්බන්ධයි).
ඔබව ආරක්ෂා කර ගන්නේ කෙසේද. මුල් POODLE වලදී, ඔබ SSL 3.0 සහාය අක්රිය කළ යුතුය. කෙසේ වෙතත්, මෙම නඩුවේ අනුකූලතා ගැටළු ඇතිවීමේ අවදානමක් ඇත. විකල්ප විසඳුමක් TLS_FALLBACK_SCSV යාන්ත්රණය විය හැකිය - එය SSL 3.0 හරහා දත්ත හුවමාරුව සිදු කරනු ලබන්නේ පැරණි පද්ධති සමඟ පමණක් බව සහතික කරයි. ප්රහාරකයින්ට තවදුරටත් ප්රොටෝකෝල පහත් කිරීම් ආරම්භ කිරීමට නොහැකි වනු ඇත. Zombie POODLE සහ GOLDENDOODLE වලින් ආරක්ෂා වීමට ක්රමයක් වන්නේ TLS 1.2-පාදක යෙදුම්වල CBC සහාය අක්රිය කිරීමයි. කාදිනල් විසඳුම TLS 1.3 වෙත සංක්රමණය වනු ඇත - ප්රොටෝකෝලයේ නව අනුවාදය CBC සංකේතනය භාවිතා නොකරයි. ඒ වෙනුවට, වඩා කල් පවතින AES සහ ChaCha20 භාවිතා වේ.
බීස්ට්
1.0 දී සොයා ගන්නා ලද SSL සහ TLS 2011 හි පළමු ප්රහාරයන්ගෙන් එකක්. පූඩ්ල්, බීස්ට් වගේ CBC සංකේතාංකනයේ විශේෂාංග. ප්රහාරකයින් TLS හෝ SSL හරහා දත්ත සම්ප්රේෂණය කිරීමේදී පණිවිඩ ප්රතිස්ථාපනය කරන සේවාදායක යන්ත්රය මත JavaScript නියෝජිතයෙකු හෝ Java applet ස්ථාපනය කරයි. ප්රහාරකයින් "ව්යාජ" පැකට් වල අන්තර්ගතය දන්නා බැවින්, ඔවුන්ට ආරම්භක දෛශිකය විකේතනය කිරීමට සහ සත්යාපන කුකීස් වැනි වෙනත් පණිවිඩ සේවාදායකයට කියවීමට ඒවා භාවිතා කළ හැකිය.
අද වන විට, BEAST අවදානම් පවතී : දේශීය අන්තර්ජාල ද්වාර ආරක්ෂා කිරීම සඳහා ප්රොක්සි සර්වර් සහ යෙදුම්.
ඔබව ආරක්ෂා කර ගන්නේ කෙසේද. දත්ත විකේතනය කිරීමට ප්රහාරකයාට නිතිපතා ඉල්ලීම් යැවීමට අවශ්ය වේ. VMware වල SSLSessionCacheTimeout හි කාලසීමාව මිනිත්තු පහේ (පෙරනිමි නිර්දේශය) සිට තත්පර 30 දක්වා අඩු කරන්න. මෙම ප්රවේශය ප්රහාරකයින්ට ඔවුන්ගේ සැලසුම් ක්රියාත්මක කිරීම වඩාත් අපහසු වනු ඇත, නමුත් එය කාර්ය සාධනයට යම් ඍණාත්මක බලපෑමක් ඇති කරයි. ඊට අමතරව, BEAST අවදානම ඉක්මනින්ම අතීතයේ දෙයක් බවට පත්විය හැකි බව ඔබ තේරුම් ගත යුතුය - 2020 සිට විශාලතම බ්රව්සර් TLS 1.0 සහ 1.1 සඳහා සහය දක්වයි. ඕනෑම අවස්ථාවක, සියලුම බ්රව්සර් භාවිතා කරන්නන්ගෙන් 1,5% කට වඩා අඩු ප්රමාණයක් මෙම ප්රොටෝකෝල සමඟ ක්රියා කරයි.
ගිලෙන්න
මෙය 2-bit RSA යතුරු සමඟ SSLv40 ක්රියාවට නැංවීමේදී දෝෂ සූරාකන හරස් ප්රොටෝකෝල ප්රහාරයකි. ප්රහාරකයා ඉලක්කයේ TLS සම්බන්ධතා සිය ගණනකට සවන් දෙන අතර එම පුද්ගලික යතුර භාවිතා කරමින් විශේෂ පැකට් SSLv2 සේවාදායකයකට යවයි. භාවිතා කරමින් , හැකර්වරයෙකුට සේවාදායක TLS සැසි දහසකින් එකක් විකේතනය කළ හැක.
DROWN මුලින්ම ප්රසිද්ධියට පත් වූයේ 2016 දීය - පසුව එය එසේ විය ලොවෙහි. අද එහි අදාළත්වය නැති වී නැත. වඩාත්ම ජනප්රිය අඩවි 150 න් 2% තවමත් පවතී SSLv2 සහ අවදානමට ලක්විය හැකි සංකේතාංකන යාන්ත්රණ.
ඔබව ආරක්ෂා කර ගන්නේ කෙසේද. SSLv2 සහාය අක්රිය කරන ගුප්ත ලේඛන පුස්තකාල සංවර්ධකයින් විසින් යෝජනා කරන ලද පැච් ස්ථාපනය කිරීම අවශ්ය වේ. උදාහරණයක් ලෙස, OpenSSL සඳහා එවැනි පැච් දෙකක් ඉදිරිපත් කරන ලදී (2016 දී 1.0.1s සහ 1.0.2g). එසේම, අවදානම් ප්රොටෝකෝලය අක්රිය කිරීම සඳහා යාවත්කාලීන සහ උපදෙස් ප්රකාශයට පත් කරන ලදී , , .
"තැපැල් සේවාදායකයක් වැනි SSLv2 සහිත තෙවන පාර්ශ්ව සේවාදායකයක් විසින් එහි යතුරු භාවිතා කරන්නේ නම් සම්පතක් ගිලා බැසීමට ගොදුරු විය හැකිය" යනුවෙන් සංවර්ධන දෙපාර්තමේන්තුවේ ප්රධානියා සටහන් කරයි. සර්ජි බෙල්කින්. — සේවාදායකයන් කිහිපයක් පොදු SSL සහතිකයක් භාවිතා කරන්නේ නම් මෙම තත්වය ඇතිවේ. මෙම අවස්ථාවේදී, ඔබ සියලු යන්ත්රවල SSLv2 සහාය අක්රිය කළ යුතුය."
විශේෂ එකක් භාවිතයෙන් ඔබේ පද්ධතිය යාවත්කාලීන කළ යුතුද යන්න ඔබට පරීක්ෂා කළ හැක - එය DROWN සොයාගත් තොරතුරු ආරක්ෂණ විශේෂඥයින් විසින් සංවර්ධනය කරන ලදී. මෙම ආකාරයේ ප්රහාරයන්ට එරෙහිව ආරක්ෂාව සම්බන්ධ නිර්දේශ ගැන ඔබට වැඩිදුර කියවිය හැක .
හෘදයාංගම
මෘදුකාංගයේ ඇති විශාලතම දුර්වලතා වලින් එකකි . එය 2014 දී OpenSSL පුස්තකාලයෙන් සොයා ගන්නා ලදී. දෝෂ නිවේදනය කරන අවස්ථාවේදී, අවදානමට ලක්විය හැකි වෙබ් අඩවි ගණන - මෙය ජාලයේ ආරක්ෂිත සම්පත් වලින් 17% ක් පමණ වේ.
කුඩා හෘද ස්පන්දන TLS දිගු මොඩියුලය හරහා ප්රහාරය ක්රියාත්මක වේ. TLS ප්රොටෝකෝලයට දත්ත අඛණ්ඩව සම්ප්රේෂණය කිරීම අවශ්ය වේ. දිගුකාලීන අක්රිය අවස්ථාවකදී, බිඳීමක් සිදු වන අතර සම්බන්ධතාවය නැවත ස්ථාපිත කිරීමට සිදු වේ. ගැටලුව සමඟ සාර්ථකව කටයුතු කිරීම සඳහා, සේවාදායකයන් සහ සේවාදායකයින් නාලිකාව කෘතිමව “ශබ්ද” කරයි (), අහඹු දිගකින් යුත් පැකට්ටුවක් සම්ප්රේෂණය කිරීම. එය සම්පූර්ණ පැකට්ටුවට වඩා විශාල නම්, OpenSSL හි අවදානමට ලක්විය හැකි අනුවාද වෙන් කළ බෆරයට වඩා මතකය කියවයි. මෙම ප්රදේශයේ පුද්ගලික සංකේතාංකන යතුරු සහ අනෙකුත් සම්බන්ධතා පිළිබඳ තොරතුරු ඇතුළුව ඕනෑම දත්තයක් අඩංගු විය හැක.
1.0.1 සහ 1.0.1f ඇතුළුව පුස්තකාලයේ සියලුම අනුවාදවල මෙන්ම මෙහෙයුම් පද්ධති ගණනාවක - Ubuntu 12.04.4 දක්වා, CentOS 6.5 ට වඩා පැරණි, OpenBSD 5.3 සහ වෙනත් අය තුළ මෙම අවදානම පවතී. සම්පූර්ණ ලැයිස්තුවක් තිබේ . මෙම අවදානමට එරෙහිව පැච් එය සොයා ගත් වහාම පාහේ නිකුත් කළද, ගැටලුව අද දක්වාම අදාළ වේ. නැවත 2017 දී , Heartbleed වලට ගොදුරු වේ.
ඔබව ආරක්ෂා කර ගන්නේ කෙසේද. එය අවශ්ය වේ 1.0.1g හෝ ඊට වැඩි අනුවාදයක් දක්වා. ඔබට DOPENSSL_NO_HEARTBEATS විකල්පය භාවිතයෙන් හෘද ස්පන්දන ඉල්ලීම් හස්තීයව අක්රිය කළ හැක. යාවත්කාලීන කිරීමෙන් පසුව, තොරතුරු ආරක්ෂණ විශේෂඥයින් SSL සහතික නැවත නිකුත් කරන්න. සංකේතාංකන යතුරු වල දත්ත හැකර්වරුන් අතට පත් වුවහොත් ප්රතිස්ථාපනයක් අවශ්ය වේ.
සහතිකය ආදේශ කිරීම
නීත්යානුකූල SSL සහතිකයක් සහිත කළමනාකරණය කළ නෝඩයක් පරිශීලකයා සහ සේවාදායකය අතර ස්ථාපනය කර ඇති අතර, ගමනාගමනය සක්රියව බාධා කරයි. මෙම නෝඩය වලංගු සහතිකයක් ඉදිරිපත් කිරීමෙන් නීත්යානුකූල සේවාදායකයක් ලෙස පෙනී සිටින අතර, එය MITM ප්රහාරයක් සිදු කිරීමට හැකි වේ.
අනුව Mozilla, Google සහ විශ්ව විද්යාල ගණනාවක කණ්ඩායම්, ජාලයේ ඇති ආරක්ෂිත සම්බන්ධතාවලින් 11%ක් පමණ හොර රහසේ සවන් දී ඇත. මෙය පරිශීලකයන්ගේ පරිගණකවල සැක සහිත මූල සහතික ස්ථාපනය කිරීමේ ප්රතිඵලයකි.
ඔබව ආරක්ෂා කර ගන්නේ කෙසේද. විශ්වාසනීය සේවාවන් භාවිතා කරන්න . සේවාව භාවිතයෙන් ඔබට සහතිකවල "ගුණාත්මකභාවය" පරීක්ෂා කළ හැකිය (CT). වලාකුළු සපයන්නන්ට අනවසරයෙන් ඇහුම්කන් දීම හඳුනා ගැනීමට ද උදවු කළ හැකිය; සමහර විශාල සමාගම් දැනටමත් TLS සම්බන්ධතා නිරීක්ෂණය කිරීම සඳහා විශේෂිත මෙවලම් ලබා දෙයි.
තවත් ආරක්ෂණ ක්රමයක් නව වනු ඇත ACME, SSL සහතික ලැබීම ස්වයංක්රීය කරයි. ඒ සමගම, එය වෙබ් අඩවියේ හිමිකරු තහවුරු කිරීම සඳහා අතිරේක යාන්ත්රණ එකතු කරනු ඇත. ඒ ගැන වැඩි විස්තර .
/flickr/ / CC BY
HTTPS සඳහා අපේක්ෂාවන්
දුර්වලතා ගණනාවක් තිබියදීත්, තොරතුරු තාක්ෂණ දැවැන්තයින් සහ තොරතුරු ආරක්ෂණ විශේෂඥයින් ප්රොටෝකෝලයේ අනාගතය ගැන විශ්වාසයි. HTTPS ක්රියාකාරීව ක්රියාත්මක කිරීම සඳහා WWW නිර්මාතෘ Tim Berners-Lee. ඔහුට අනුව, කාලයත් සමඟ TLS වඩාත් ආරක්ෂිත වනු ඇත, එය සම්බන්ධතා වල ආරක්ෂාව සැලකිය යුතු ලෙස වැඩිදියුණු කරනු ඇත. බර්නර්ස් ලී පවා එය යෝජනා කළේය අනන්යතා සත්යාපනය සඳහා සේවාදායක සහතික. ඔවුන් ප්රහාරකයින්ගෙන් සේවාදායක ආරක්ෂාව වැඩි දියුණු කිරීමට උපකාරී වනු ඇත.
යන්ත්ර ඉගෙනීම භාවිතයෙන් SSL/TLS තාක්ෂණය දියුණු කිරීමට ද සැලසුම් කර ඇත - අනිෂ්ට ගමනාගමනය පෙරීම සඳහා ස්මාර්ට් ඇල්ගොරිතම වගකිව යුතුය. HTTPS සම්බන්ධතා සමඟ, අනිෂ්ට මෘදුකාංග වලින් ඉල්ලීම් හඳුනා ගැනීම ඇතුළුව සංකේතාත්මක පණිවිඩවල අන්තර්ගතය සොයා ගැනීමට පරිපාලකයින්ට ක්රමයක් නොමැත. අද වන විට, ස්නායුක ජාල 90% නිරවද්යතාවයකින් අනතුරුදායක විය හැකි පැකට් පෙරීමට සමත් වේ. ().
සොයා ගැනීම්
HTTPS හි බොහෝ ප්රහාර ප්රොටෝකෝලය සමඟ ඇති ගැටළු වලට සම්බන්ධ නොවේ, නමුත් යල් පැන ගිය සංකේතාංකන යාන්ත්රණ සඳහා සහාය වේ. තොරතුරු තාක්ෂණ කර්මාන්තය ක්රමයෙන් පෙර පරම්පරාවේ ප්රොටෝකෝල අත්හැරීමටත්, දුර්වලතා සෙවීම සඳහා නව මෙවලම් ලබා දීමටත් පටන් ගෙන තිබේ. අනාගතයේදී, මෙම මෙවලම් වැඩි වැඩියෙන් බුද්ධිමත් වනු ඇත.
මාතෘකාව පිළිබඳ අමතර සබැඳි:
මූලාශ්රය: www.habr.com