Спецы по сохранности нашли уязвимость в неких версиях протокола шифрования OpenSSL, 1-го из самых фаворитных в вебе. Уязвимость, получившая заглавие «Сердечное кровотечение», по оценке обнаруживших ее служащих Гугл и компании по инфобезопасности Codenomicon, может затронуть две трети веб-сайтов в вебе.
Вчера исследователи сказали, что при помощи «Сердечного кровотечения» получили доступ к индивидуальным данным юзеров Яху!, пишет газета The Wall Street Journal. Позднее представитель Яху! заявил газете, что компания «внесла нужные коррективы». Популярные веб-сайты Гугл, Amazon.com и Ebay для юзеров безопасны, согласно испытательной програмке, разработанной компанией Qualys.
Уязвимость употребляет делему неких версий OpenSSL, бесплатного набора инструментов шифрования инфы, который употребляет львиная толика веб-сайтов в вебе. Разработку OpenSSL координирует четыре главных программера из Европы, и лишь какой-то из них числит работу над протоколом своим главным местом работы. Ограниченность ресурсов, доступных создателям протокола шифрования, представляют делему для веб-разработчиков и вызывают энтузиазм у взломщиков и шпионов разных стран.
Веб-сайты больше употребляют средства шифрования для того, чтоб скрыть индивидуальные данные - такие, как имена юзеров, их пароли либо номера пластмассовых карт. Это дозволяет защитить от взломщиков, которые пробуют перехватить чужие данные в кофейнях и остальных общественных местах доступа. Для защиты употребляют шифрование SSL либо TSL - при их использовании возникает значок замка в адресной строке браузера. Уязвимые для «Сердечного кровотечения» серверы хранят пользовательские данные в памяти в незашифрованном виде, и хакеры могут получить к ним доступ.
Разработка протоколов шифрования - непростой процесс, потому почти все веб-сайты употребляют бесплатный набор инструментов шифрования OpenSSL. Его выпустили около 15 годов назад создатели, которые желали придумать легкую в использовании схему шифрования для интернет-трафика. Годовой бюджет за 2013 г. организации OpenSSL Software Foundation, управляющей финансированием разработок данной нам системы составил меньше $1 млн, сказал газете The Wall Street Journal президент организации Стив Маркисс.
Большая часть веб-сайтов в вебе оказалось неготовым к тому, чтоб оперативно обновить протоколы шифрования и обезопасить юзеров от «Сердечного кровотечения».
«Если для вас нужна мощная анонимность либо защита индивидуальных данных, для вас лучше не входить в веб вообщем в течение пары дней, пока ситуация не уляжется», - написал в собственном блоге президент Tor Project Роджер Динглдайн. Tor Project выпускает браузер, защищенный от сторонней слежки за его юзерами.