web-dev-qa-db-ja.com

平均的なユーザーはハートブリードについてどのように偏執的であるべきですか?

Heartbleedに関する質問は、セキュリティスタックの交換からAndroidまで、本日朝から人気のある質問リストに表示されています
私はそれらの多くを読んでいますが、それらのほとんどは技術的であり、サーバー管理者の観点からは、平均的なユーザーには理解するのが難しいです
これらは私が見つけたいくつかの単純なものです

  1. https://serverfault.com/questions/587329/heartbleed-what-is-it-and-what-are-options-to-mitigate-it
  2. OpenSSL TLSハートビート(ハートブリード)エクスプロイトはどの程度正確に機能しますか?
  3. エンドユーザーはHeartbleedについて何をすべきですか?
  4. ハートブリードの脆弱性はクライアントに深刻な影響を及ぼしますか?

技術的な詳細がわからないので、平均的なWindowsユーザーとして、どのように偏執的である必要がありますか。また、使用するサービスに脆弱性がある場合、私がすべき(またはできる)ことはありますか?

たとえば、上記の項目4で受け入れられた回答は、脆弱なシステムについて次のように述べています。

一般的なクライアントに関する情報:

Windows(すべてのバージョン):おそらく影響を受けません(SChannel/SSPIを使用)。ただし、個々のアプリケーションのTLS実装に注意を払う必要があります。たとえば、CygwinユーザーはOpenSSLパッケージを更新する必要があります。

OSXおよびiOS(すべてのバージョン):おそらく影響を受けません。 SANSは、「OS X Mavericksにはパッチがありません」と言って脆弱である可能性があることを示唆していますが、OSX 10.9にはOpenSSL 0.9.8yが同梱されているため、影響を受けないという人もいます。 Appleは言う:「OS XのOpenSSLライブラリは非推奨であり、OpenSSLはiOSの一部として提供されたことがない」

Chrome(Androidを除くすべてのプラットフォーム):おそらく影響を受けません(NSSを使用)

Android上のChrome:4.1.1が影響を受ける可能性があります(OpenSSLを使用)。ソース。 4.1.2はハートビートを無効にしてコンパイルされるため、影響を受けません。ソース。 Mozilla製品(Firefox、Thunderbird、SeaMonkey、Fennecなど):おそらく影響を受けず、すべてNSSを使用

chromeをデフォルトのブラウザとして使用している平均的なWindowsユーザーの場合、私は脆弱ではありませんか?それは本当ではないと思うので、おそらくここでは何かを得ていません。 このページ は、Yahooが脆弱であることがわかっている最大のWebサービスプロバイダーであることを示しています(stackexchangeも含まれます)。したがって、Yahooメールまたはstackexchangeアカウントを持っている場合、これは、入力したときに私のコンピューターの側からパスワードが脆弱であることを意味します上で引用した答えでは、WindowsとChromeはopensslを使用しないため、おそらく影響を受けません。それで、どうやってYahooとstackexchangeを使用するときに、どうしてこの脆弱性が脆弱になるのでしょうか。 opensslを使用しますか?何か私にできることはありますか?できる場合はどうすればよいですか?パスワードをすぐに変更するか、または連絡が来るのを待ってからパスワードを変更しますか?

別の質問があります。アイテム1の受け入れられた回答には、次のように書かれています。

さて、OpenSSLの誤ったコード。これは脆弱性を修正したコミットです。これが本当に間違いだったのか、悪質な俳優のためにコードの一部が侵入したのかは推測しません。 バグは2011年12月に発生し、2014年4月7日に本日パッチが適用されました。

バグがその古いもので、本当に深刻な場合、なぜ今まで何も行われていなかったのはなぜですか。

11
user13267

ボトムアップから始めます:)

バグはしばらくの間存在していましたが、最近まで発見されていませんでした。定義により、バグは明白ではありません-それらは間違いです。ようやくwasが見つかったとき、それを修正する必死の努力がありました。

リンク先の回答は、悪意のあるWebサーバーが個々のコンピューターを攻撃するのは難しいことを示しています。これは、多くのWebブラウザー(TLS接続を確立するために使用する最も一般的なもの)は脆弱ではないためです。

ただし、脆弱なサーバーに接続された場合、あなたはstill脆弱です。例:オンラインフォーラムに参加している。攻撃者はHTTPSを使用して同じサーバーに接続し、この攻撃を使用して、サーバーのメモリからセッションCookieを盗みます。これで、攻撃者はそのフォーラムであなたになりすますことができます。

何にもログインしないことを除けば、現時点で技術者でないエンドユーザーが実行できることはほとんどありません。サーバーにパッチを適用するかどうかは、システム管理者とエンジニア次第です。あなたは、彼らが作られたかどうか、そしていつ作られたかという彼らの推奨に従うことによって、最も助けることができます。

サービスにパッチを適用したら、通常どおりログインしてパスワードを変更します。パッチを適用した後、多くのWebサイトでパスワードの変更が強制されると思います。

3
scuzzy-delta

WindowsをChromeで閲覧しているため、システムはこの問題の影響を受けませんが、アクセスして使用するサイトの大部分は脆弱である可能性があります。

できることはいくつかあります。

  • アクセスするWebサイトのSSL証明書を確認し、2014年4月7日以降に発行されたことを確認します
  • アクセスしたWebサイトにパッチが適用されているか、脆弱性がないことを確認します(これが役立つ場合があります http://filippo.io/Heartbleed/
  • 脆弱ではなく、証明書がハートブリードされている場合は、パスワードを変更します(侵害された場合)

個人的に私は「Certificate Patrol」と呼ばれるFirefoxアドオンを持っています。これは、証明書が交換されたか新しいものである場合にアラートを出します。私はサーバーで実行されているソフトウェアを識別するアドオンも持っているので、Heartbleedの影響を受けなかったサーバー(たとえば、Windows Server、またはOpenSSL 0.9.8)を実行しているアドオンがあります。

バグがその古いものであり、それが本当にこれほど深刻である場合、なぜ今まで何も行われていなかったのはなぜですか?

今まで問題があったことを誰も知らなかったので、今まで何も行われていませんでした。残念ながら、それは気付かれることなく侵入しました-大規模で多くの貢献者がいるプロジェクトでは、間違いが起こります。しかし、気づかれずに修正されずに長くかかったのは残念です。

ChromeとFirefoxはOpenSSLライブラリを使用しない(代わりにMozillaのNSSを使用する)ため、clientとしてのあなたは直接影響を受けません。アクセスしたサイト(HTTPまたはHTTPSのいずれかで)mayがHTTPSリクエストをリッスンして動作している場合、情報が漏洩するand use a脆弱なOpenSSLバージョン。

Yahooは長い間脆弱でしたが、昨日パッチが当てられました。昨日Web経由でログインしたことがある場合は、パスワードが危険にさらされていると考えてください。

さて、OpenSSLの誤ったコード。これは、脆弱性を修正したコミットです。これが本当に間違いだったのか、それとも悪質な俳優のためにコードの一部が侵入したのかは推測しません。 バグは2011年12月に発生しましたであり、本日、2014年4月7日にパッチが適用されました。

バグがその古いものであり、それが本当にこれほど深刻である場合、なぜ今まで何も行われていなかったのはなぜですか?

バグはその時点で導入されたものであり、OpenSSL開発者がその時点でバグが作成されたことを知っていたわけではありません

3
Lekensteyn