Video: Så vloggar du (September 2024)
Nyheter den här veckan har dominerats av diskussioner om Heartbleed-buggen, som gör det möjligt för hackare att skaffa upp data direkt från minnet på de drabbade säkra servrarna. Den fångade informationen kan inkludera krypteringsnycklar, lösenord och all data som skickas via en förment säker HTTPS-kanal. Buggen har funnits i över två år, och eftersom attacken inte lämnar några spår har vi ingen aning om hur mycket den har utnyttjats.
Vem är sårbart?
Lösenordsguiderna på LastPass har lagt till en ny rynka i produktens säkerhetskontrollrapport. Förutom att flagga svaga och duplicerade lösenord listar det alla dina sparade webbplatser som är eller var sårbara för Heartbleed. Jag bad ett antal kolleger från LastPass att skicka resultaten av rapporten, bara för att få en känsla för vad som finns där ute.
Jag har över 200 lösenord lagrade i LastPass själv. Bara sex av dem rapporterades vara sårbara, och två hade redan lappats. Lägga till resultat från mina kollegor såg jag 50 utsatta platser, varav 30 fortfarande inte lappades.
LastPass-rapporten rekommenderar att du ändrar ditt lösenord för webbplatser som har korrigerats för att åtgärda felet. För de andra tyder det på att vänta tills webbplatsen meddelar en uppdatering, eftersom ditt helt nya lösenord fortfarande skulle vara sårbart. För mig själv skulle jag föreslå att du tar Heartbleed som ett väckarklocka för att ändra alla dina lösenord och se till att var och en av dem är starka och att inga två webbplatser använder samma lösenord. Du måste ändra lösenord för fortfarande utsatta webbplatser igen när de är fixade, men ändra dem alla minimerar potentialen för exponering.
Toppbutiker
För en annan vy tog jag Alexa's 20 mest populära shoppingsajter och körde dem genom ett par online-tester. Forskaren Filippo Valsorda skapade ett test kort efter att Heartbleed-nyheten bröt. LastPass är också värd för ett on-demand test
Jag tyckte att Valsordas testresultat var lite förvirrande. Testet gav ett felmeddelande som "trasigt rör" eller "i / o-timeout" för fem av de 20 webbplatserna jag försökte. Nio platser fick en ren hälsokost, eftersom testet rapporterade att de var "fixade eller opåverkade." De återstående sex returnerade ett felmeddelande på grund av att anslutningen överlämnades till ett innehållsleveransnätverk och CDN: s certifikat stämde inte överens med domänen jag angav. Om du kryssar i rutan för att ignorera certifikat fick alla dessa ett "fast eller opåverkat" resultat, men testsidan varnar för att detta kan vara ett falskt resultat.
Testsidan som tillhandahålls av LastPass ger mycket mer information. Det rapporterade tio av webbplatserna som kanske osäkra. Det betyder att testet inte kunde avgöra om webbplatsen använder OpenSSL, kryptobiblioteket som påverkas av Heartbleed-buggen eller inte. Fyra av webbplatserna var förmodligen sårbara, eftersom de använder OpenSSL, och två av dem är nu säkra. Fyra andra platser var definitivt inte sårbara, och en som definitivt var sårbar är nu säker. Det lämnar bara en webbplats som inte kunde analyseras på grund av ett anslutningsfel.
LastPass Heartbleed-testaren rapporterar också hur nyligen varje webbplatsens SSL-certifikat har ändrats. Ett certifikat som ändrades kort efter nyheten om Heartbleed bröt är en ganska bra indikation på att webbplatsen påverkades men nu är säker.
När det gäller alla webbplatser vars status är oklart är ditt bästa sätt att vänta på ett meddelande från webbplatsen själv. Var dock försiktig. Klicka inte på någon länk för att återställa lösenord som du får i ett e-postmeddelande, eftersom några av dessa är bedrägerier. Navigera direkt till sajten, ändra ditt lösenord och se till att lösenordshanteraren tar upp ändringen.
Håll dig uppdaterad med PCMags täckning av Heartbleed-felet här.
