Video: Guide: Få styr på din bilforsikring (Oktober 2024)
Nyheter denne uken har blitt dominert av diskusjoner om Heartbleed-feilen, som lar hackere skaffe data direkte fra minnet til berørte sikre servere. De fangne dataene kan inkludere krypteringsnøkler, passord og alle data som sendes via en antatt sikker HTTPS-kanal. Feilen har vært til stede i over to år, og siden angrepet ikke etterlater spor, har vi ingen anelse om hvor mye den er utnyttet.
Hvem er sårbart?
Passordveiviserne på LastPass har lagt til en ny rynke i produktets sikkerhetssjekk-rapport. Nå, i tillegg til å flagge svake og dupliserte passord, lister den opp alle lagrede nettsteder som er eller var sårbare for Heartbleed. Jeg ba en rekke kolleger fra LastPass om å sende meg resultatene fra den rapporten, bare for å få en følelse av hva som er der ute.
Jeg har over 200 passord lagret i LastPass selv. Bare seks av dem ble rapportert som sårbare, og to hadde allerede blitt lappet. Når jeg la til resultater fra kollegaene mine, så jeg 50 utsatte nettsteder, hvorav 30 fortsatt ikke var lappet.
LastPass-rapporten anbefaler at du endrer passordet ditt for nettsteder som har blitt oppdatert for å fikse feilen. For de andre foreslår det å vente til nettstedet kunngjør en oppdatering, siden det splitter nye passordet ditt fremdeles vil være sårbart. For meg selv vil jeg foreslå å ta Heartbleed som en vekker for å endre alle passordene dine, og sørge for at hver enkelt av dem er sterke og at ingen to nettsteder bruker det samme passordet. Du må endre passord for fortsatt sårbare nettsteder igjen etter at de er fikset, men hvis du endrer dem alle, reduseres potensialet for eksponering nå.
Topp butikker
For en annen visning tok jeg Alexa de 20 mest populære shoppingnettstedene og kjørte dem gjennom et par online tester. Forsker Filippo Valsorda opprettet en test kort tid etter at Heartbleed-nyheten brøt. LastPass er også vertskap for en on-demand test
Jeg syntes Valsordas testresultater var litt forvirrende. Testen returnerte en feilmelding som "ødelagt pipe" eller "i / o timeout" for fem av de 20 nettstedene jeg prøvde. Ni nettsteder fikk en ren helsehenvisning, da testen rapporterte at de var "faste eller upåvirket." De resterende seks returnerte en feilmelding på grunn av at forbindelsen ble avlevert til et innholdsleveringsnettverk, og CDNs sertifikat stemte ikke overens med domenet jeg skrev inn. Hvis du krysser av for å ignorere sertifikater, fikk alle disse et "fast eller upåvirket" resultat, men testsiden advarer om at dette kan være et falskt resultat.
Testsiden levert av LastPass gir mye mer informasjon. Den rapporterte ti av nettstedene som muligens utrygge. Det betyr at testen ikke kunne avgjøre om nettstedet bruker OpenSSL, kryptobiblioteket som er berørt av Heartbleed-feilen eller ikke. Fire av nettstedene var sannsynligvis sårbare, fordi de bruker OpenSSL, og to av disse er nå trygge. Fire andre nettsteder var definitivt ikke sårbare, og en som definitivt var sårbar er nå trygg. Dette etterlater bare ett nettsted som ikke kunne analyseres på grunn av en tilkoblingsfeil.
LastPass Heartbleed-testeren rapporterer også hvor nylig SSL-sertifikatet for hvert nettsted ble endret. Et sertifikat som ble endret kort tid etter at nyheten om Heartbleed brøt er en ganske god indikasjon på at nettstedet ble berørt, men nå er trygt.
Når det gjelder alle nettstedene hvis status er uklart, er det beste alternativet å vente på en kunngjøring fra selve nettstedet. Men vær på vakt. Ikke klikk på koblingen for tilbakestilling av passord i en e-post, fordi noen av disse er svindel. Naviger direkte til nettstedet, endre passordet ditt, og pass på at passordbehandleren tar opp endringen.
Hold deg oppdatert på PCMags løpende dekning av Heartbleed-feilen her.
