ฟิลิป โนวอตนี ข้อบกพร่องของซอฟต์แวร์ Heartbleed ที่แพร่หลายอย่างมาก ซึ่งถือเป็นความเสี่ยงทางอินเทอร์เน็ตที่ใหญ่ที่สุดในขณะนี้ กล่าวกันว่าไม่มีผลกระทบต่อเซิร์ฟเวอร์ของ Apple ช่องโหว่ด้านความปลอดภัยนี้ส่งผลกระทบต่อเว็บไซต์ที่มีผู้เยี่ยมชมมากที่สุดในโลกถึง 15% แต่ผู้ใช้ iCloud หรือบริการอื่น ๆ ของ Apple ไม่จำเป็นต้องกลัว เขากล่าวว่า มันเป็นเซิร์ฟเวอร์ของสหรัฐอเมริกา เรื่อง / รหัส.
“Apple ให้ความสำคัญกับความปลอดภัยเป็นอย่างมาก ทั้ง iOS และ OS X ไม่เคยมีซอฟต์แวร์ที่สามารถหาประโยชน์ได้นี้ และบริการเว็บที่สำคัญไม่ได้รับผลกระทบ” Apple บอกกับ Re/code ดังนั้นผู้ใช้จึงไม่ควรกลัวที่จะลงชื่อเข้าใช้ iCloud, App Store, iTunes หรือ iBookstore หรือซื้อสินค้าจากร้านค้าออนไลน์อย่างเป็นทางการ
ผู้เชี่ยวชาญแนะนำให้ใช้รหัสผ่านที่แตกต่างกันและแข็งแกร่งเพียงพอในแต่ละเว็บไซต์ รวมถึงซอฟต์แวร์จัดเก็บข้อมูล เช่น 1Password หรือ Lastpass เครื่องมือสร้างรหัสผ่านในตัวของ Safari ก็สามารถช่วยได้เช่นกัน นอกเหนือจากมาตรการเหล่านี้แล้ว ไม่จำเป็นต้องดำเนินการเพิ่มเติม เนื่องจาก Heartbleed ไม่ใช่ไวรัสคลาสสิกที่จะโจมตีอุปกรณ์ไคลเอนต์
มันเป็นข้อบกพร่องของซอฟต์แวร์ในเทคโนโลยีการเข้ารหัส OpenSSL ที่ใช้โดยเว็บไซต์ส่วนใหญ่ของโลก ข้อบกพร่องนี้ทำให้ผู้โจมตีสามารถอ่านหน่วยความจำระบบของเซิร์ฟเวอร์ที่กำหนด และรับข้อมูล เช่น ข้อมูลผู้ใช้ รหัสผ่าน หรือเนื้อหาที่ซ่อนอยู่อื่นๆ
ข้อบกพร่อง Heartbleed มีมาหลายปีแล้ว โดยปรากฏครั้งแรกในเดือนธันวาคม 2011 และผู้พัฒนาซอฟต์แวร์ OpenSSL ได้เรียนรู้เกี่ยวกับปัญหานี้ในปีนี้เท่านั้น อย่างไรก็ตาม ยังไม่ชัดเจนว่าผู้โจมตีทราบปัญหาดังกล่าวมานานแค่ไหนแล้ว พวกเขาสามารถเลือกจากเว็บไซต์จำนวนมาก เช่น Heartbleed อาศัยอยู่ จากทั้งหมด 15 เปอร์เซ็นต์ของรายการยอดนิยม
เป็นเวลานานแล้วที่แม้แต่เซิร์ฟเวอร์อย่าง Yahoo!, Flickr หรือ StackOverflow ก็ยังมีช่องโหว่ เว็บไซต์เช็ก Seznam.cz และ CISFD หรือ SME สโลวักก็มีความเสี่ยงเช่นกัน ปัจจุบัน ผู้ดำเนินการได้รักษาความปลอดภัยเซิร์ฟเวอร์ส่วนใหญ่แล้วโดยการอัปเดต OpenSSL ให้เป็นเวอร์ชันที่แก้ไขแล้วที่ใหม่กว่า คุณสามารถดูได้ว่าเว็บไซต์ที่คุณเยี่ยมชมนั้นปลอดภัยหรือไม่โดยใช้การทดสอบออนไลน์ง่ายๆ การทดสอบคุณสามารถค้นหาข้อมูลเพิ่มเติมได้จากเว็บไซต์ Heartbleed.คอม.
ฉันไม่รู้ว่าการใช้รหัสผ่านที่รัดกุมเกี่ยวข้องกับปัญหา Heartbleed อย่างไร สามารถรับรหัสผ่านที่รัดกุมได้จากช่องโหว่นี้และรหัสผ่านที่คาดเดาง่าย
นอกจากนี้ การอ้างว่าเซิร์ฟเวอร์ไม่ปลอดภัยนั้นค่อนข้างโง่ เซิร์ฟเวอร์ควรป้องกันข้อผิดพลาดที่ไม่รู้จักอย่างไร เซิร์ฟเวอร์มีช่องโหว่
Apple อ้างว่าไม่ได้ใช้ซอฟต์แวร์ที่สามารถแฮ็กได้นี้ ดังนั้นจึงใช้ OpenSSL รุ่นเก่า แต่ไม่ได้ใช้ OpenSSL เลย ไม่ใช่ว่ามันมีความปลอดภัยที่ดีกว่า
OpenSSL ไม่ใช่การใช้งาน SSL เพียงอย่างเดียว ตัวอย่างเช่น Microsoft ไม่ได้ใช้ OpenSSL เช่นกัน
เท่าที่ฉันรู้ Apple ไม่ได้ใช้โซลูชัน SSL ของตัวเอง ดังนั้นจึงมีความเป็นไปได้สูงที่จะใช้ไลบรารี OpenSSL