අඩක් අඩවි
/flickr/
පූඩ්ල්
ප්රහාරය ගැන පළමු වතාවට
එහි සාරය පහත පරිදි වේ: හැකර් සේවාදායකයාට SSL 3.0 හරහා සම්බන්ධ වීමට බල කරයි, සම්බන්ධතා බිඳීම් අනුකරණය කරයි. ඊට පස්සේ encrypt කරපු එකේ search කරනවා
SSL 3.0 යනු යල් පැන ගිය ප්රොටෝකෝලයකි. නමුත් ඔහුගේ ආරක්ෂාව පිළිබඳ ප්රශ්නය තවමත් අදාළ වේ. සේවාදායකයන් සමඟ ගැළපෙන ගැටළු මඟහරවා ගැනීමට සේවාදායකයින් එය භාවිතා කරයි. සමහර දත්ත වලට අනුව, වඩාත්ම ජනප්රිය අඩවි 7 න් 100% ක්ම පාහේ
ඔබව ආරක්ෂා කර ගන්නේ කෙසේද. මුල් POODLE වලදී, ඔබ SSL 3.0 සහාය අක්රිය කළ යුතුය. කෙසේ වෙතත්, මෙම නඩුවේ අනුකූලතා ගැටළු ඇතිවීමේ අවදානමක් ඇත. විකල්ප විසඳුමක් TLS_FALLBACK_SCSV යාන්ත්රණය විය හැකිය - එය SSL 3.0 හරහා දත්ත හුවමාරුව සිදු කරනු ලබන්නේ පැරණි පද්ධති සමඟ පමණක් බව සහතික කරයි. ප්රහාරකයින්ට තවදුරටත් ප්රොටෝකෝල පහත් කිරීම් ආරම්භ කිරීමට නොහැකි වනු ඇත. Zombie POODLE සහ GOLDENDOODLE වලින් ආරක්ෂා වීමට ක්රමයක් වන්නේ TLS 1.2-පාදක යෙදුම්වල CBC සහාය අක්රිය කිරීමයි. කාදිනල් විසඳුම TLS 1.3 වෙත සංක්රමණය වනු ඇත - ප්රොටෝකෝලයේ නව අනුවාදය CBC සංකේතනය භාවිතා නොකරයි. ඒ වෙනුවට, වඩා කල් පවතින AES සහ ChaCha20 භාවිතා වේ.
බීස්ට්
1.0 දී සොයා ගන්නා ලද SSL සහ TLS 2011 හි පළමු ප්රහාරයන්ගෙන් එකක්. පූඩ්ල්, බීස්ට් වගේ
අද වන විට, BEAST අවදානම් පවතී
ඔබව ආරක්ෂා කර ගන්නේ කෙසේද. දත්ත විකේතනය කිරීමට ප්රහාරකයාට නිතිපතා ඉල්ලීම් යැවීමට අවශ්ය වේ. VMware වල
ගිලෙන්න
මෙය 2-bit RSA යතුරු සමඟ SSLv40 ක්රියාවට නැංවීමේදී දෝෂ සූරාකන හරස් ප්රොටෝකෝල ප්රහාරයකි. ප්රහාරකයා ඉලක්කයේ TLS සම්බන්ධතා සිය ගණනකට සවන් දෙන අතර එම පුද්ගලික යතුර භාවිතා කරමින් විශේෂ පැකට් SSLv2 සේවාදායකයකට යවයි. භාවිතා කරමින්
DROWN මුලින්ම ප්රසිද්ධියට පත් වූයේ 2016 දීය - පසුව එය එසේ විය
ඔබව ආරක්ෂා කර ගන්නේ කෙසේද. SSLv2 සහාය අක්රිය කරන ගුප්ත ලේඛන පුස්තකාල සංවර්ධකයින් විසින් යෝජනා කරන ලද පැච් ස්ථාපනය කිරීම අවශ්ය වේ. උදාහරණයක් ලෙස, OpenSSL සඳහා එවැනි පැච් දෙකක් ඉදිරිපත් කරන ලදී (2016 දී
"තැපැල් සේවාදායකයක් වැනි SSLv2 සහිත තෙවන පාර්ශ්ව සේවාදායකයක් විසින් එහි යතුරු භාවිතා කරන්නේ නම් සම්පතක් ගිලා බැසීමට ගොදුරු විය හැකිය" යනුවෙන් සංවර්ධන දෙපාර්තමේන්තුවේ ප්රධානියා සටහන් කරයි.
IaaS සපයන්නා 1cloud.ru සර්ජි බෙල්කින්. — සේවාදායකයන් කිහිපයක් පොදු SSL සහතිකයක් භාවිතා කරන්නේ නම් මෙම තත්වය ඇතිවේ. මෙම අවස්ථාවේදී, ඔබ සියලු යන්ත්රවල SSLv2 සහාය අක්රිය කළ යුතුය."
විශේෂ එකක් භාවිතයෙන් ඔබේ පද්ධතිය යාවත්කාලීන කළ යුතුද යන්න ඔබට පරීක්ෂා කළ හැක
හෘදයාංගම
මෘදුකාංගයේ ඇති විශාලතම දුර්වලතා වලින් එකකි
කුඩා හෘද ස්පන්දන TLS දිගු මොඩියුලය හරහා ප්රහාරය ක්රියාත්මක වේ. TLS ප්රොටෝකෝලයට දත්ත අඛණ්ඩව සම්ප්රේෂණය කිරීම අවශ්ය වේ. දිගුකාලීන අක්රිය අවස්ථාවකදී, බිඳීමක් සිදු වන අතර සම්බන්ධතාවය නැවත ස්ථාපිත කිරීමට සිදු වේ. ගැටලුව සමඟ සාර්ථකව කටයුතු කිරීම සඳහා, සේවාදායකයන් සහ සේවාදායකයින් නාලිකාව කෘතිමව “ශබ්ද” කරයි (
1.0.1 සහ 1.0.1f ඇතුළුව පුස්තකාලයේ සියලුම අනුවාදවල මෙන්ම මෙහෙයුම් පද්ධති ගණනාවක - Ubuntu 12.04.4 දක්වා, CentOS 6.5 ට වඩා පැරණි, OpenBSD 5.3 සහ වෙනත් අය තුළ මෙම අවදානම පවතී. සම්පූර්ණ ලැයිස්තුවක් තිබේ
ඔබව ආරක්ෂා කර ගන්නේ කෙසේද. එය අවශ්ය වේ
සහතිකය ආදේශ කිරීම
නීත්යානුකූල SSL සහතිකයක් සහිත කළමනාකරණය කළ නෝඩයක් පරිශීලකයා සහ සේවාදායකය අතර ස්ථාපනය කර ඇති අතර, ගමනාගමනය සක්රියව බාධා කරයි. මෙම නෝඩය වලංගු සහතිකයක් ඉදිරිපත් කිරීමෙන් නීත්යානුකූල සේවාදායකයක් ලෙස පෙනී සිටින අතර, එය MITM ප්රහාරයක් සිදු කිරීමට හැකි වේ.
අනුව
ඔබව ආරක්ෂා කර ගන්නේ කෙසේද. විශ්වාසනීය සේවාවන් භාවිතා කරන්න
තවත් ආරක්ෂණ ක්රමයක් නව වනු ඇත
/flickr/
HTTPS සඳහා අපේක්ෂාවන්
දුර්වලතා ගණනාවක් තිබියදීත්, තොරතුරු තාක්ෂණ දැවැන්තයින් සහ තොරතුරු ආරක්ෂණ විශේෂඥයින් ප්රොටෝකෝලයේ අනාගතය ගැන විශ්වාසයි. HTTPS ක්රියාකාරීව ක්රියාත්මක කිරීම සඳහා
යන්ත්ර ඉගෙනීම භාවිතයෙන් SSL/TLS තාක්ෂණය දියුණු කිරීමට ද සැලසුම් කර ඇත - අනිෂ්ට ගමනාගමනය පෙරීම සඳහා ස්මාර්ට් ඇල්ගොරිතම වගකිව යුතුය. HTTPS සම්බන්ධතා සමඟ, අනිෂ්ට මෘදුකාංග වලින් ඉල්ලීම් හඳුනා ගැනීම ඇතුළුව සංකේතාත්මක පණිවිඩවල අන්තර්ගතය සොයා ගැනීමට පරිපාලකයින්ට ක්රමයක් නොමැත. අද වන විට, ස්නායුක ජාල 90% නිරවද්යතාවයකින් අනතුරුදායක විය හැකි පැකට් පෙරීමට සමත් වේ. (
සොයා ගැනීම්
HTTPS හි බොහෝ ප්රහාර ප්රොටෝකෝලය සමඟ ඇති ගැටළු වලට සම්බන්ධ නොවේ, නමුත් යල් පැන ගිය සංකේතාංකන යාන්ත්රණ සඳහා සහාය වේ. තොරතුරු තාක්ෂණ කර්මාන්තය ක්රමයෙන් පෙර පරම්පරාවේ ප්රොටෝකෝල අත්හැරීමටත්, දුර්වලතා සෙවීම සඳහා නව මෙවලම් ලබා දීමටත් පටන් ගෙන තිබේ. අනාගතයේදී, මෙම මෙවලම් වැඩි වැඩියෙන් බුද්ධිමත් වනු ඇත.
මාතෘකාව පිළිබඳ අමතර සබැඳි:
වලාකුළෙහි සංවර්ධනය, තොරතුරු ආරක්ෂාව සහ පුද්ගලික දත්ත: 1Cloud වෙතින් digest SSL digest: Habré සහ තවත් දේ පිළිබඳ හොඳම ප්රායෝගික ද්රව්ය VPN digest: Habré සහ තවත් දේ පිළිබඳ හඳුන්වාදීමේ ලිපි
මූලාශ්රය: www.habr.com