Heartbleedについてエンドユーザーは何をすべきですか？

エンドユーザーは、システム管理者が詳細な指示を連絡するまで待つ必要があります。ある時点で、システム管理者が脆弱なシステムにパッチを適用した後、次の操作が必要になる場合があります。

• パスワードを変更する
• 再度ログイン（すべてのセッションキーとCookieを無効にする必要があるため）
• 上級管理者が、漏洩した可能性のある脆弱なサーバーによって処理された実際のコンテンツを評価し、それに応じて対応できるようにします。

発生しようとしている大規模なキー/証明書の変更は、サーバー側で行われるため、ほとんどのユーザーに気付かれないようになると思います。クライアント側のルートCAの信頼できる証明書については、対応する秘密鍵がエアギャップシステムに常駐することを期待しているため、この脆弱性の影響を受けません。 必要な証明書ストアへの更新は、バックグラウンド更新で透過的に行われる可能性があります。

上記の箇条書きのポイントを heartbleed.com （私の強調）からまとめました：

リークされた主キーマテリアルとは何ですか？どのように回復しますか？

これらは王冠の宝石、暗号化キー自体です。漏洩した秘密鍵により、攻撃者は保護されたサービスへの過去および将来のトラフィックを解読し、自由にサービスを偽装することができます。暗号化とX.509証明書の署名によって提供される保護はバイパスできます。このリークからの回復には、脆弱性へのパッチ適用、侵害されたキーの取り消し、および新しいキーの再発行と再配布が必要です。これらすべてを実行しても、過去に攻撃者によって傍受されたトラフィックは依然として復号化に対して脆弱です。これはすべて、サービスの所有者が行う必要があります。

漏洩した二次鍵の資料とは何ですか？どのように回復しますか？

これらは、脆弱なサービスで使用されるユーザー資格情報（ユーザー名とパスワード）などです。このリークから回復するには、最初にサービスの所有者が上記の手順に従ってサービスへの信頼を復元する必要があります。この後、ユーザーは、侵害されたサービスの所有者からの指示に従って、パスワードと可能な暗号化キーの変更を開始できます。すべてのセッションキーとセッションCookieを無効にし、侵害されたと見なす必要があります。

漏洩した保護されたコンテンツとは何ですか？どのように回復しますか？

これは脆弱なサービスによって処理される実際のコンテンツです。個人的または財務上の詳細、電子メールやインスタントメッセージなどのプライベートコミュニケーション、ドキュメント、または暗号化によって保護する価値があると思われるものなどです。リークされた可能性を推定できるのはサービスの所有者のみであり、それに応じてユーザーに通知する必要があります。最も重要なことは、前述のように、プライマリおよびセカンダリキーマテリアルへの信頼を復元することです。これだけが、侵害されたサービスを将来的に安全に使用できるようにします。

漏洩した担保とは何ですか？どのように回復しますか？

漏えいした担保は、漏えいしたメモリコンテンツで攻撃者に公開された他の詳細です。これらには、メモリアドレスなどの技術的な詳細や、オーバーフロー攻撃から保護するために使用されるカナリアなどのセキュリティ対策が含まれる場合があります。これらは現代的な価値しかなく、OpenSSLが修正バージョンにアップグレードされると、攻撃者にとってその価値は失われます。

@ scuzzy-deltaは上記のすばらしい概要を持っていますが、私はもう少し予防的に答えるかもしれないと思った。

オンラインサービスの一般的なセキュリティこのようなバグによる被害を回避する最良の方法の1つは、KeePass（MacおよびLinux用のKeePassx）などのパスワードマネージャーを使用することです。パスワードマネージャは、使用するすべてのWebサイトに対して完全に一意のパスワードを生成して保存できます。これにより、同じパスワードまたは同じパスワードの派生物を複数のサービスに使用するときに発生する多数のセキュリティリスクを回避できます。

RE：パスワードの変更パスワードの変更はすべて適切ですが、使用しているサービスまたはWebサイトが依然としてHeartbleedに対して脆弱である場合、新しいパスワードも侵害される可能性があります。ほとんどの場合、私はサービスがバグにパッチを当てているか、影響を受けていないことを発表していると思います。