غير مصنف

ما تحتاج لمعرفته حول Heartbleed وتغيير كلمات المرور الخاصة بك

ما تحتاج لمعرفته حول Heartbleed وتغيير كلمات المرور الخاصة بك



We are searching data for your request:

Forums and discussions:
Manuals and reference books:
Data from registers:
Wait the end of the search in all databases.
Upon completion, a link will appear to access the found materials.

[مصدر الصورة:هارتبليد]

لذلك ربما تكون قد سمعت عن Heartbleed مؤخرًا وقد يطلب منك جميع أصدقائك تغيير جميع كلمات المرور الخاصة بك. ومع ذلك ، قبل تغيير كلمات المرور الخاصة بك ، عليك أن تعرف أن موقع الويب المعني قد أخذ الكل الخطوات اللازمة لحماية نفسه من Heartbleed ، وإلا ستظل كلمة مرورك الجديدة عرضة للخطر. بعض القوائم التي تدور حولك تخبرك أن المواقع جاهزة لتغييرات كلمة المرور ولكنها لم تتحقق من جميع خطوات الأمان الضرورية. تابع القراءة لمعرفة المزيد:

ملاحظة. سنقوم (نحاول) أن نشرح بالضبط ما هو الخرق الأمني ​​لـ Heartbleed بطريقة ما يمكن للجميع فهم وتتيح لك أيضًا معرفة النقاط المهمة المتعلقة بأين ومتى يجب تغيير كلمة المرور الخاصة بك.

ما هو حشرة Heartbleed؟

رسم موقع الويب الهزلي xkcd رسمًا كاريكاتوريًا صغيرًا يشرح Heartbleed بأبسط الأزياء التي رأيناها:

أولاً ، تحتاج إلى معرفة أن أمان الويب يتم توفيره بواسطة برنامج يُعرف باسم OpenSSL (طبقة المقابس الآمنة) ، والتي تقوم بتشفير (تشويش) البيانات المرسلة من وإلى جهاز كمبيوتر المستخدم وخادم مواقع الويب (حيث يتم استضافة / تخزين موقع الويب). من المهم جدًا التفكير في أشياء مثل أسماء المستخدمين وكلمات المرور وحتى تفاصيل بطاقة الائتمان والعنوان التي ستقدمها إلى النماذج عبر الإنترنت ، والتي تنتقل من جهاز الكمبيوتر الخاص بك إلى خادم مواقع الويب.

يستفيد Heartbleed من شيء يعرف باسم "نبض القلب" بين كمبيوتر المستخدم وخادم مواقع الويب - بشكل أساسي ، عند الوصول إلى موقع ويب ، سيستجيب موقع الويب لإعلام جهاز الكمبيوتر الخاص بك بأنه نشط وينتظر طلباتك بنبض القلب. من المفترض أن تكون نبضات القلب استجابة مساوية لكمية البيانات التي أرسلها الكمبيوتر عند تقديم الطلب. ومع ذلك ، يسمح خطأ في البرنامج للمتسللين بطلب المزيد من البيانات من ذاكرة الخوادم بما يتجاوز إجمالي بيانات الطلب الأولي حتى 65536 بايت. قد تحتوي هذه المعلومات الإضافية الواردة في الطلب على أي شيء من كلمات المرور إلى تفاصيل بطاقة الائتمان التي أرسلها أشخاص آخرون (انظر الرسوم المتحركة أعلاه).

يقال إن خطأ Heartbleed خطأ صريح ارتكبته المبرمج Robin Seggelmann ، الذي أضاف إلى برنامج OpenSSL ، في ليلة رأس السنة الجديدة 2011. هذا يعني أن الثقب الأمني ​​كان موجودًا منذ أكثر من عامين الآن وهو الأسوأ الجزء هو أنه لا توجد طريقة لمعرفة ما إذا كان المتسلل قد قدم طلبًا للحصول على معلومات إضافية من نبضات القلب. بمعنى آخر ، لا توجد طريقة لمعرفة ما إذا كان أي شخص قد سرق كلمات مرور أو معلومات حساسة أخرى من موقع ويب.

متى يجب علي تغيير كلمة المرور الخاصة بي؟

تقدم العديد من مواقع الويب قوائم تقدم نصائح حول مواقع الويب التي يجب عليك تغييرها وما إذا كان يجب عليك تغيير كلمة المرور الخاصة بك حتى الآن. ومع ذلك ، يقول العديد من خبراء الأمن (مثل Bruce Schneier و Troy Hunt والناس في AgileBits) ، أنك بحاجة إلى التحقق من ثلاثة أشياء:

  1. كان الموقع (أو الأجهزة / التطبيق حيث يؤثر Heartbleed على أكثر من مواقع الويب) يستخدم إصدارًا من OpenSSL كان في الواقع عرضة لـ Heartbleed (الإصدارات 1.0.1 مارس 2012 حتى 1.0.1f). الإصدار الذي يحتوي على الإصلاح هو 1.0.1g والذي تم إصداره في 7 أبريل 2014.
  2. قام الموقع بتصحيح خطأ OpenSSL.
  3. جدد الموقع مفاتيح الأمان ثم أصدر شهادة أمان (SSL) جديدة.

إذا كان هذا كله ضخمًا جدًا بالنسبة لك ، فقد تم الإبلاغ عن أن مدقق Heartbleed الخاص بـ LastPass هو حاليًا طريقة التحقق الأكثر موثوقية إذا لم تتمكن من التحقق من نفسك يدويًا. لإلقاء نظرة أكثر تعمقًا على التأكد من أن الموقع جاهز لتغييرات كلمة المرور ، توجه إلى ITWorld.

بعض قوائم المواقع التي تحتاج إلى تغيير كلمة مرورك على الإنترنت قد تحققت فقط من أن مواقع الويب قد قامت بتصحيح خطأ OpenSSL على سبيل المثال ولم تتحقق مما إذا كان قد تم إصدار شهادات أمان جديدة (SSL). نظرًا لأنه من المستحيل معرفة ما إذا كان الخادم ضحية لهجوم Heartbleed ، فمن غير الواضح ما إذا كان المتسلل قد قام بتنزيل مفاتيح الأمان ، والتي ستظل موقع الويب عرضة للخطر إذا لم تكتمل الخطوات الثلاث المذكورة أعلاه.

لقد نجحت للتو في حل تحديCloudFlare: https://t.co/8ZPSxyKF4D. أتساءل متى سيتم تحديث الصفحة.

- Fedor Indutny (indutny) 11 نيسان 2014

في الآونة الأخيرة ، نظرت شبكة توزيع المحتوى Cloudflare في مدى خطورة الخطأ من خلال حث الباحثين عليها لمحاولة استخدام Heartbleed للحصول على مفاتيح أمان SSL والفشل. ومع ذلك ، عندما طرحوا التحدي للجمهور ، تمكن أحد المتسللين من فريق Node.js المعروف باسم Fedor من استرداد مفاتيح SSL الخاصة بنجاح.

نأمل أن يساعدك هذا في فهمك لـ Heartbleed وأنك ستقوم بتغييرات كلمة المرور الضرورية والموقوتة لضمان أمانك على الإنترنت. كنقطة أخيرة ، نود أن نذكرك ليس لاستخدام نفس كلمة المرور لجميع مواقع الويب لأن هذا قد يكون كارثيًا. إذا لم تتمكن من تتبع العديد من كلمات المرور المختلفة ، فنحن نوصي باستخدام برنامج مثل LastPass.

تحقق أيضًا من حملة Logme Once Kickstarter التي توفر مدير كلمات المرور والأمان الرقمي بالإضافة إلى جهاز تخزين USB آمن وشاحن بطارية متنقل في حزمة واحدة:

LogmeOnce يلبي حاجة يومية. من الذي لا يشعر بالقلق هذه الأيام بشأن التعرض للاختراق ، أو نسيان كلمات المرور ، أو مجرد كونه ضعيفًا لأن لديه كلمات مرور ضعيفة؟ يوفر LogmeOnce بديلاً آمنًا وسهل الاستخدام لهذه المخاوف وكلمات المرور المكتوبة على عجل على قصاصات من الورق


شاهد الفيديو: انشاء موقع كتروني خلال 3 دقائق طريقه عبقريه جدا وسهله 2017 وربح المال بواسطه الموقع (أغسطس 2022).