सवाल इंटरनेट का उपयोग कैसे करें जबकि हार्टबलेड को ठीक किया जा रहा है?


ऐसी कई वेबसाइटें हैं जो वर्तमान में कमजोर नहीं हैं, लेकिन मुझे नहीं पता कि वे क्या हैं थे कुछ दिन पहले कमजोर।

उदाहरण के लिए:

  • twitter.com: अभी कमजोर नहीं है, लेकिन प्रमाणपत्र बुध मार्च 05 00:00:00 यूटीसी 2014 से है
  • google.com: अभी कमजोर नहीं है, लेकिन प्रमाणपत्र बुध मार्च 12 09:53:40 यूटीसी 2014 से है
  • bankofamerica.com: अभी कमजोर नहीं है, लेकिन प्रमाणपत्र दिसंबर 05 00:00:00 यूटीसी 2013 से है

मैं क्या करूं? इन्हें तब तक उपयोग न करें जब तक वे पुन: जारी न हों? मुझे कैसे पता चलेगा कि वे ताजा चाबियों के साथ प्रमाणपत्र जारी करते हैं? ऐसा लगता है कि मुझे अपना पासवर्ड बदलने के लिए इन साइटों में लॉग इन भी नहीं करना चाहिए क्योंकि यह जानने का कोई तरीका नहीं है कि वे असली वेबसाइट हैं।


119
2018-04-09 04:55


मूल


के संभावित डुप्लिकेट अंत उपयोगकर्ताओं को हार्टबलेड के बारे में क्या करना चाहिए?security.stackexchange.com पर - Philipp


जवाब:


अपडेट 2014-04-11

क्लाउडफ्लारे ने यह सत्यापित करने के लिए एक चुनौती स्थापित की कि निजी कुंजी निष्कर्षण वास्तव में संभव था। यह लगभग 100 हजार अनुरोधों के साथ किया गया है, और यह डर की पुष्टि करता है। यह सैद्धांतिक नहीं है, लेकिन सिद्ध किया हुआ। तुम जा सकते हो यहाँ इसके बारे में पढ़ने के लिए।

इसके अलावा, ब्लूमबर्ग ने बताया है कि एनएसए इस शोषण के बारे में पता है कम से कम दो साल। यह समझ में आता है क्योंकि एनएसए के पास उन विश्लेषकों को किराए पर लेने के संसाधन हैं जिनके एकमात्र काम इस तरह के सॉफ्टवेयर में शोषण ढूंढना है। अब जब हम जानते हैं कि अमेरिकी सरकार इतनी लंबी संभावना के लिए इसका शोषण कर रही है कि अन्य राज्यों ने इसका ज्ञात और शोषण किया है तो यह महत्वपूर्ण है।


टी एल; डॉ अपने सिस्टम की स्थिति के संबंध में संगठनों से घोषणाओं के लिए देखें, बदलें सब अपने पासवर्ड का, और बैंकिंग या अन्य वित्तीय प्रणालियों जैसे महत्वपूर्ण खातों पर धोखाधड़ी / संदिग्ध गतिविधि के लिए देखो।

यह समझने के लिए कि स्थिति इतनी खतरनाक क्यों है कि हमें पहले यह समझना होगा कि यह हमला वास्तव में क्या करता है। सीवीई-2014-0160, एकेए हार्टबलेड, एक बफर ओवरड्रेड बग है जो किसी हमलावर को ओपनएसएसएल के कमजोर संस्करण चलाने वाले सर्वर से 64 केबी मेमोरी तक पहुंचने की अनुमति देता है।

यह वास्तव में बुरा लगता है। यह अभ्यास में कैसे काम करता है

आप सही हैं, यह एक गंभीर दोष है, लेकिन हम थोड़ी देर बाद वापस आ जाएंगे। अभी बात करें कि शोषण क्यों काम करता है। परिवहन परत सुरक्षा (टीएलएस) का उपयोग कई अनुप्रयोगों द्वारा जानकारी को सुरक्षित करने के लिए किया जाता है एचटीटीपी (HTTPS) या सुरक्षित करने के लिए एसएमटीपी उदाहरण के लिए सक्षम है। आरएफसी 5246 में, जो टीएलएस के मानकों को निर्धारित करता है, वहां एक समारोह है जो दिल की धड़कन के रूप में जाना जाता है। क्लाइंट और सर्वर कनेक्शन को जीवित रखने के लिए कुछ डेटा आगे और आगे भेजते हैं ताकि इसका उपयोग बाद में किया जा सके। अब अभ्यास में ग्राहक कुछ डेटा भेज देगा और सर्वर इसे वापस भेज देगा, और सब कुछ बढ़िया है। हालांकि प्रभावित ओपनएसएसएल संस्करणों में यह देखने के लिए कोई जांच नहीं है कि क्लाइंट ने वास्तव में उस डेटा की मात्रा भेजी है जो उसने कहा था। तो अगर मैं इसे 1 बाइट भेजता हूं और सर्वर को बताता हूं कि मैंने वास्तव में इसे 64 केबी भेजा है तो यह खुशी से मुझे 64 केबी भेज देगा। उन अन्य बाइट कहां से आते हैं? वहीं समस्या की कुंजी यही है। ओपनएसएसएल आपको 64 केबी - 1 बाइट्स मेमोरी भेजने के लिए जा रहा है, जिस पर प्रक्रिया को एक्सेस किया गया है और जिसे आपने मूल रूप से नहीं भेजा था, इस पर निर्भर करता है कि आपका 1 बाइट कहाँ संग्रहित है। स्मृति से ये अतिरिक्त बाइट समस्या हैं क्योंकि उनमें मूल्यवान जानकारी शामिल हो सकती है निजी कुंजी सामग्री¹ और जानकारी जो सर्वर उपयोग करने के लिए डिक्रिप्ट कर रहा है। इसके उदाहरण होंगे: पासवर्ड, क्रेडिट कार्ड की जानकारी, और / या पिन

ठीक। सूचना सुरक्षा के लिए इसका क्या अर्थ है? यदि आप समझते हैं कि असममित क्रिप्टोग्राफी कैसे काम करती है तो आप पहले ही जानते हैं कि यह गंभीर है क्योंकि प्रकटीकरण एन्क्रिप्शन को obfuscation से अधिक नहीं देता है। इसका मतलब यह है कि भले ही सर्वरों को पैच किया जा सके और अब स्मृति को लीक नहीं कर रहे हैं, सत्र अभी भी असुरक्षित हो सकते हैं। यह संभव है कि सार्वजनिक रूप से ज्ञात होने या पैचिंग होने के पहले इसका शोषण किया गया था, लेकिन वर्तमान में कोई तरीका यह साबित करने के लिए साबित नहीं हुआ कि हमला हुआ था। यह संभव है कि नियम IDSs उपलब्ध हो सकता है, लेकिन अभी तक यह मामला नहीं है।  आईडीएस नियम जारी किए गए हैं। यह स्वयं ही बेहद खतरनाक है, क्योंकि ऑपरेटरों को यह नहीं पता कि उनकी चाबियाँ अभी भी सुरक्षित हैं या नहीं।

हमें यह मानने के लिए मजबूर होना पड़ता है कि चाबियां लीक हो गई हैं, जिसका अर्थ है कि यह संभव है कि तार में जो कुछ भी आप भेजते हैं उसे किसी तीसरे पक्ष द्वारा डिक्रिप्ट किया जा सके। इसे कम करने का एकमात्र तरीका पुरानी चीजों को रद्द करते समय पुन: उत्पन्न करना और नए प्रमाणपत्र प्राप्त करना है। दुर्भाग्यवश, इसमें समय लगता है सीए अभी इन अनुरोधों के साथ बाढ़ आ रही है। फिर भी यह एक के लिए संभावना छोड़ देता है मैन-इन-द-बीच हमले, या अन्य फ़िशिंग अवसर।

यह कब सुरक्षित होगा? यह जानना कि यह कब सुरक्षित होगा एक कठिन सवाल है। कुछ चीजें जिन्हें मैं देखने का सुझाव दूंगा, वे सार्वजनिक घोषणाएं बताते हैं कि बग को उनके वातावरण में पैच किया गया है या वे कभी भी कमजोर नहीं थे, क्योंकि उन्होंने कभी भी प्रभावित संस्करणों का उपयोग नहीं किया था। जब उन्होंने घोषणा की कि उन्होंने ओपनएसएसएल के एक नए संस्करण में अपग्रेड किया है, तो मैं यह सुनिश्चित कर दूंगा कि वे हस्ताक्षरित एक नए प्रमाणपत्र का उपयोग कर रहे हैं बाद शोषण की सार्वजनिक रिलीज की तिथि जो 2014-04-07 थी।

** ध्यान दें कि निजी कुंजी बाद में लीक होने पर पहले दर्ज यातायात को डिक्रिप्ट किया जा सकता है।

मैं खुद को बचाने के लिए उपयोगकर्ता के रूप में क्या कर सकता हूं

अगले कुछ दिनों के लिए यदि आप ऑनलाइन बैंकिंग या ऑनलाइन मेडिकल चार्ट एक्सेस जैसी महत्वपूर्ण साइटों का उपयोग करने से बच सकते हैं तो मैं आपको ऐसा करने का सुझाव दूंगा। यदि आपको ऐसा करना चाहिए तो समझें कि आपका सत्र संभावित रूप से जोखिम में है और इसके परिणामों को स्वीकार करने के लिए तैयार रहें। साथ ही, संगठनों के बाद यह घोषणा की जाती है कि वे अब कमजोर नहीं हैं अपना पासवर्ड बदलें; एक पासवर्ड प्रबंधक का उपयोग कर मदद कर सकते हैं। आपको बैंक विवरण या क्रेडिट कार्ड नंबर जैसे किसी अन्य जानकारी को बदलने या निगरानी करने के लिए भी तैयार होना चाहिए।

कार्यकर्ताओं को विशेष सूचना

कुछ भी जो OpenSSL का उपयोग करता है, प्रभावित हो सकता है टो। यह संभव है कि दो साल पहले ओपनएसएसएल रिलीज में शामिल होने के बाद से सरकारें इस दोष का उपयोग कर सकें क्योंकि उनके पास इस तरह के शोषण की तलाश करने के लिए आवश्यक विशाल संसाधन होंगे, और इस तरह आपको तैयार किया जाना चाहिए कि जानकारी अब निजी नहीं होगा।

** ध्यान दें कि पहले दर्ज किए गए यातायात को डिक्रिप्ट किया जा सकता है यदि निजी कुंजी बाद में लीक हो जाती है सही आगे सुरक्षा (पीएफएस) लागू किया गया था।

¹- दावा किया गया है कि यह संभव है कि निजी कुंजी स्मृति में न हों, लेकिन साथ ही सफल कुंजी निष्कर्षण के दावों का भी दावा किया गया है।  इस बिंदु पर यह अनिश्चित है कि कौन सा पक्ष सही है।


201
2018-04-09 07:17



यह पाठ का सबसे अधिक जानकारीपूर्ण टुकड़ा है जिसे मैंने इस नए गर्म-पागल-गंभीर हार्टलेड हमले के बारे में पढ़ा है (अन्य सभी लेख / ब्लॉग / समाचार पोस्टों में केवल बिट्स और जानकारी के टुकड़े शामिल हैं)। अच्छी नौकरी :) । - Radu Murzea
हम कैसे जान सकते हैं कि नए प्रमाणपत्र का उपयोग करके नए प्रमाणपत्र उत्पन्न किए जाते हैं?
Note that previously recorded traffic may be decrypted if the private key was later leaked.   अगर सर्वर आगे की गोपनीयता के साथ एक सिफर का उपयोग नहीं कर रहा था। - Wes
@Wes आप सही हैं कि पीएफएस ने यातायात को सुरक्षित रखा होगा। मैं लोगों को भ्रमित किए बिना स्थिति की व्याख्या करने की एक अच्छी लाइन चलने की कोशिश कर रहा था। दुर्भाग्य से पीएफएस व्यापक रूप से तैनात नहीं किया गया था। - Jacob
सारांश में what is heartbleed bug  xkcd.com/1354 - GoodSp33d


इस भेद्यता से उत्पन्न जोखिम अतिरंजित किया जा रहा है। मैं यह इसलिए कहता हूं क्योंकि शून्य सबूत हैं कि 2 दिनों पहले शोधकर्ताओं द्वारा इसके प्रकाशन से पहले इस भेद्यता को ज्ञात या शोषित किया गया था।

मुझे स्पष्ट होने दें, यह जरूरी है कि कमजोर वेबसाइटें, विशेष रूप से इंटरनेट पर संवेदनशील डेटा को ट्रांसफर करने वाले, पैच किए जाएं। यह उतना ही जरूरी है कि हमले के हस्ताक्षर आईडीएस और मैलवेयर सुरक्षा उपकरण में लोड किए जाएंगे। आईटी के अंदर, हमें उच्चतम प्राथमिकता के साथ इस भेद्यता का जवाब देना चाहिए।

ऐसा कहकर, मुझे नहीं लगता कि सार्वजनिक प्रेस द्वारा इस भेद्यता से जुड़े जोखिम का स्तर उचित है।

व्यक्तियों को खुद को बचाने के लिए क्या करना चाहिए?  ओपनएसएसएल के कमजोर संस्करण चला रहे साइटों का उपयोग न करें।

जब तक इस सबूत नहीं है कि इस भेद्यता का शोषण किया गया था, तब तक कोई और कार्य व्यर्थ है और एफयूडी से ज्यादा कुछ भी प्रेरित नहीं है। आप असहमत हैं? प्रत्येक महीने या तिमाही में जारी कई भेद्यता पर विचार करें मनमाने ढंग से कोड निष्पादन की अनुमति दें। वे लोग जो हमलावर रूट या सिस्टम स्तरीय विशेषाधिकार देते हैं या जहां हमलावर बाद में विशेषाधिकार वृद्धि के माध्यम से उन्हें कमजोर सिस्टम द्वारा संभाले गए सभी डेटा की सुरक्षा के लिए अधिक से अधिक जोखिम प्रदान कर सकता है, क्योंकि यह भेद्यता प्रस्तुत करता है।

कई मामलों में, ये भेद्यता सॉफ़्टवेयर विक्रेता या शोधकर्ताओं द्वारा खोजी जाती हैं जो विक्रेता को सूचित करते हैं। विक्रेता एक पैच पैदा करता है और भेद्यता के विवरण के प्रकाशन के बिना इसे बाजार में रिलीज़ करता है। कुछ मामलों में, विवरण प्रकाशित होते हैं और परीक्षण उपकरण में उपयोग के लिए सुरक्षा समुदाय द्वारा शोषण प्रकाशित किए जाते हैं। हम कहकर इन कई रहस्यों पर प्रतिक्रिया नहीं करते हैं "हमारे सभी रहस्यों का खुलासा हो सकता है!"

यदि शोषण का सबूत है, तो हमें उस पर उचित प्रतिक्रिया देनी चाहिए। मुझे उन शोधकर्ताओं के अतिरंजना में बहुत बड़ा जोखिम दिखाई देता है जिन्होंने इस भेद्यता की घोषणा की और प्रेस में जिन्होंने शोधकर्ताओं की ढीली बात को बढ़ाया है। वे भेड़िया रो रहे हैं।

- एल विएजो


14
2018-04-09 22:35



इस उत्तर को और अधिक आईएमओ वोट दिया जाना चाहिए। वहां खूब हर महीने प्रकाशित भेद्यताएं जो लोगों को सर्वर की निजी कुंजी चुरा लेने की अनुमति देती हैं, और उनके बारे में बहुत अधिक परेशानी नहीं होती है। यह वाला है ओपनएसएसएल की सर्वव्यापीता के कारण औसत से अधिक गंभीर है, लेकिन यह अभी भी अति-प्रचारित है। - alastair
"जब तक इस सबूत नहीं हैं कि इस भेद्यता का शोषण किया गया था" "यदि शोषण का सबूत है, तो हमें उस पर उचित प्रतिक्रिया देनी चाहिए।" आप शोषण के साक्ष्य के बारे में बहुत कुछ बोलते हैं। फिर भी हार्टबलेड बग के बारे में डरावनी चीजों में से एक यह है कि इस तथ्य के बाद सफल शोषण ज्ञानी नहीं है (जब तक कि आप हमेशा के लिए आने वाले दिल की धड़कन संदेश को हर समय पूर्ण रूप से संग्रहित नहीं कर रहे हैं, और फिर भी यह गारंटी नहीं है कि सफल शोषण ने सुरक्षा का उल्लंघन किया)। आप बग के सफल शोषण के तथ्य सबूत के बाद स्थापित करने का प्रस्ताव कैसे देते हैं? - α CVn
-1 क्योंकि यह लेखक वास्तव में हमलों की प्रकृति को समझ में नहीं आता है जो मुझे नहीं लगता है। एक के लिए, हमलावर जिनके पास इस तरह की पहुंच थी, वे इसे गुप्त रखने के लिए बहुत मुश्किल काम करेंगे और उनके घुसपैठ के साक्ष्य को बाहर आने की अनुमति नहीं देंगे। इस प्रकार की एक बग जो इंटरनेट पर लगभग आधे सुरक्षित ट्रैफिक की सुरक्षा में कटौती करती है वह वुल्फ रो रही नहीं है। यह एक बहुत ही गंभीर मामला है जो मुझे लगता है। - Eliptical View
आईटी सुरक्षा की बात आती है, जब मैं ब्रूस श्नीयर को सर्वोच्च सम्मान में रखता हूं। उद्धरण के लिए हार्टबलेड भेद्यता के बारे में उनके ब्लॉग पोस्ट: "विनाशकारी" सही शब्द है। 1 से 10 के पैमाने पर, यह 11 है। इस मुद्दे के आपके डाउनप्ले से दृढ़ता से असहमत होने के लिए यह अकेला मेरे लिए पर्याप्त है। - abstrask
इस पोस्ट को डाउनग्रेड किया जाना चाहिए। समस्या का उपयोग नहीं किया जा रहा है, यह ओपनएसएसएल की एक विनाशकारी विफलता है, इसके अलावा यदि सार्वजनिक रूप से घोषित किए जाने तक इसका उपयोग नहीं किया जाता है, तो खराब खिलाड़ियों ने इसके बाद निश्चित रूप से समझौता किया है। एनएसए के बारे में यह भी बहुत अधिक संभावना है (लेकिन यह साबित नहीं किया जा सकता है)। इस बात पर विश्वास करने वाले सिद्धांत हैं कि यह एक जानबूझकर समझौता है, हालांकि लेखक इसे अस्वीकार करते हैं। - davidgo


प्रत्येक वेबसाइट HTTPS के लिए ओपनएसएसएल लाइब्रेरीज़ का उपयोग नहीं करती है (उदाहरण के लिए जीएनयूटीएलएस और पोलरएसएसएल भी है), और ओपनएसएसएल का हर संस्करण कमजोर नहीं था (पुराने संस्करण नहीं थे)। इसका मतलब है कि आपके द्वारा उल्लिखित वेबसाइटों का एक उचित मौका प्रमाणपत्र नहीं बदलता है क्योंकि उन्हें इसकी आवश्यकता नहीं थी। बस तारीखों को प्रमाणित किए गए प्रमाण पत्र आपको पर्याप्त नहीं बताते हैं।

ऐसी कई टूल और साइटें हैं जो आपको यह देखने में सहायता कर सकती हैं कि कोई वेबसाइट कमजोर है या नहीं, उदाहरण के लिए:  - http://filippo.io/Heartbleed- https://gist.github.com/mitsuhiko/10130454- https://www.ssllabs.com/ssltest/ 

दुर्भाग्यवश, जैसा कि आपने पहले ही कहा है, यह आपको नहीं बताता कि वे थे या नहीं। मुझे डर है कि यहां मुख्य मुद्दा ट्रस्ट है: यह सत्यापित करने का कोई तरीका नहीं है कि वे कौन सी एसएसएल पुस्तकालयों का उपयोग करते हैं और अंदरूनी सूचना के बिना उपयोग किए जाते हैं। आपको उम्मीद है कि उन्होंने जो किया है वह किया है (क्योंकि यह सही बात है, या यहां तक ​​कि क्योंकि वे सार्वजनिक अपमान से डरते हैं) और यदि उन्होंने किया तो आप केवल उम्मीद कर सकते हैं कि वे इसके बारे में खुले हैं।

बेशक, अगर आप प्रभावित होते हैं तो आप हमेशा इन वेबसाइटों से पूछ सकते हैं, मैंने इस बारे में सार्वजनिक बयान जारी करने वाली कई वेबसाइटें देखी हैं। ट्विटर या फेसबुक जैसे सोशल मीडिया का सार्वजनिक रूप से उपयोग करने से अक्सर पूछताछ होती है।

तो सबसे अच्छी सलाह जो मैं दे सकता हूं वह सामान्य सलाह का एक टुकड़ा है: सावधान रहें कि आप इंटरनेट पर क्या छोड़ते हैं और आप किस वेबसाइट पर अपनी व्यक्तिगत जानकारी के साथ विश्वास करते हैं।


5
2018-04-09 05:36



प्रकट होने के लिए अपरिहार्य PolarSSL बग के लिए इंतजार कर रहा है (यह है सूची में अगला ...) - strugee


निजी कुंजी का खुलासा होने के संबंध में, यह जोड़ने के लायक है, जबकि कोई एन्क्रिप्टेड सत्र में डेटा डिक्रिप्ट करने में सक्षम हो सकता है, क्योंकि अब उनके पास निजी कुंजी है, फिर भी उन्हें खुद को स्थापित करने की आवश्यकता होगी बीच वाला व्यक्ति सत्र का। इंटरनेट पर कोई भी ऐसा नहीं कर सकता है।

मेरी समझ यह है कि उन्हें आपके स्थानीय लैन पर या तो यातायात को अवरुद्ध करने की आवश्यकता होगी एआरपी धोखाधड़ी या इंटरनेट राउटर को झूठे मार्गों का विज्ञापन करके यातायात को पुनर्निर्देशित करने में सक्षम होना। इस भेद्यता के बिना भी इस प्रकार के हमले हमेशा संभव रहे हैं।


1
2018-04-10 04:34



हार्टबलेड के साथ जरूरी नहीं है। बग मौजूद है क्योंकि (एन्क्रिप्ट किया जाना चाहिए) डेटा रैम तक पहुंच से उजागर किया जा सकता है। इसलिए, उन्हें इस भेद्यता का फायदा उठाने के लिए यातायात को अवरुद्ध / स्पीफ करने की आवश्यकता नहीं है। हालांकि, सर्वर या क्लाइंट पर स्थापित कुछ दुर्भावनापूर्ण सॉफ़्टवेयर होने की आवश्यकता होगी और इसे रैम तक पहुंचने के लिए उचित पहुंच की आवश्यकता होगी। - ub3rst4r
ऐसा नहीं। मैन-इन-द-मध्य हमले से भी समझौता किया जा सकता है। इसके अलावा मेमोरी डंप न केवल उस सत्र को प्रभावित करता है, यह संभव है (स्मृति ब्लॉक की सामग्री के आधार पर) अनचाहे उपयोगकर्ता नाम और अन्य उपयोगकर्ताओं के पासवर्ड देखने के लिए, निजी ट्रैफ़िक के अतिरिक्त सभी ट्रैफिक को डीकोड करने में सुविधा के लिए [एमआईटीएम हमले के माध्यम से] - davidgo
मुझे लगता है कि मुझे थोड़ा स्पष्ट होना चाहिए था कि सर्वर मुख्य रूप से पैच किए जाने के बाद मैं मुख्य रूप से समझौता कुंजी के उपयोग का जिक्र कर रहा था। - PeterJ


आप साइट पर यूआरएल दर्ज कर सकते हैं लास्टपास हार्टबलेड चेकर और यह आपको बताएगा कि साइट अभी भी कमजोर है या नहीं, और जब इसका प्रमाणपत्र अपडेट किया गया था।

एक क्रोम एक्सटेंशन भी कहा जाता है Chromebleed जो आपको चेतावनी देगा यदि आप किसी ऐसी साइट पर जा रहे हैं जो हार्टबलेड से प्रभावित है।

Mashable.com अच्छी तरह से ज्ञात साइटों की एक सूची है, चाहे वे प्रभावित हों, और क्या आपको अपना पासवर्ड बदलना चाहिए या नहीं। दिलचस्प बात यह है कि बैंकों और ब्रोकरेज सूची में से कोई भी साइट प्रभावित नहीं हुई थी।


0
2018-04-11 20:23





मैं निम्नलिखित साइट पर भी जाऊंगा:

https://www.ivpn.net/blog/heartbleed-passwords-change

उनके पास लोकप्रिय साइटों की एक सूची है जो प्रभावित हुई हैं और आपको कब और कहां अपना पासवर्ड बदलना चाहिए


0
2018-04-13 12:39





कुल मिलाकर, मैं कहूंगा कि परावर्तक आपको नहीं पहुंचने दें। वास्तव में यातायात को डिक्रिप्ट करने और अपना पासवर्ड प्राप्त करने में सक्षम होने के नाते वास्तव में ऐसा नहीं किया गया है।

यदि तुम प्रयोग करते हो दो तरीकों से प्रमाणीकरण (और आपको चाहिए) ट्विटर, फेसबुक, जीमेल, और अपनी बैंकिंग जैसी साइटों पर आपको बहुत ज्यादा चिंतित नहीं होना चाहिए, और यहां तक ​​कि यदि आप संभवतः ठीक नहीं हैं।

यदि आपको अपने सभी पासवर्ड बदलने की आवश्यकता महसूस होती है, तो आपको आगे बढ़ना होगा और ऐसा करना होगा जहां आपको लगता है कि आपको इसकी आवश्यकता है। वास्तव में, यह सब वहाँ है।


-1
2018-04-09 05:05



दो-कारक प्रमाणीकरण किसी दुर्भावनापूर्ण पार्टी को इस शोषण के आसपास संभव कुछ भी करने से नहीं रोकेगा। मुझे यकीन नहीं है कि आप इसे लाने का कारण क्या हैं। अपने सामाजिक खातों तक पहुंच प्राप्त करना वास्तव में किसी ऐसे व्यक्ति की चिंता नहीं है जो ओपनएसएसएल में इस शोषण का लाभ उठा सकता है। - Ramhound
टिप्पणियों को हटाए जाने से पहले टिप्पणियों में @ramhound मैंने उल्लेख किया है, दो कारक मदद करता है क्योंकि एक बार साइट पर एक नया प्रमाण पत्र जारी करने के बाद कोई हमलावर अब उपयोगी नहीं होता है। क्योंकि जब तक कोई नया प्रमाणपत्र जारी नहीं किया जाता है (और सर्वर पैच किए जाते हैं) के बाद तक कोई पासवर्ड नहीं बदलता है, तो हमलावर की निजी कुंजी होने पर होने वाले संभावित क्रेडेंशियल रिसाव से खाते की त्वरित पुन: सुरक्षितता होती है। साथ ही, ट्विटर और फेसबुक महत्वपूर्ण हैं क्योंकि इन्हें कई अन्य वेबसाइटों के लिए एकल साइन के रूप में उपयोग किया जा सकता है (जिसमें मुझे विश्वास है?) - Sirex
पासवर्ड अभी भी सहायक है क्योंकि लोग एक ही पासवर्ड का उपयोग करते हैं, हां, यहां तक ​​कि वे लोग जो 2-कारक प्रमाणीकरण का उपयोग करते हैं। जब तक हमलावर मूल रूप से सत्र डेटा को डंप कर सकता है, वे आपके खिलाफ एक एमआईटीएम हमला कर सकते हैं। - Ramhound
हाँ, लेकिन पासवर्ड का पुन: उपयोग करना वास्तव में एक अलग असफल है। मेरा मुद्दा दो कारक था, बाद में गंभीरता और दीर्घायु को कम करने में मदद करता है, लेकिन हां यह वास्तविक बग का शोषण करने में मदद नहीं करेगा। - Sirex
@Sirex जहां तक ​​मैं दो-कारक ऑथ का उपयोग करके लॉग इन करने के लिए लॉग इन नहीं कर सकता हूं, मेरी मशीन पर कुकीज़ को अमान्य कर दिया गया है। यह निश्चित रूप से उनके हिस्से में विफलता है, लेकिन मेरा मुद्दा यह है कि फिलहाल दो-कारक लेखक उद्धारकर्ता नहीं है। एक हमलावर कुकीज़ को आसानी से रोक सकता है और अपने अनुरोधों पर उनका उपयोग कर सकता है। इसके अलावा, क्योंकि यह जानने का कोई तरीका नहीं है कि किसी ने इस बग का शोषण किया है (यहां तक ​​कि सिस्टम प्रशासकों के लिए) केवल सुरक्षित धारणा यह है कि इसका शोषण किया गया था। मुझे उदाहरण के लिए पता है कि chase.com बुधवार की सुबह के रूप में अभी भी कमजोर था। असंभव हमलावरों ने उसको याद किया। - CrazyCasta