Filip Novotny Pepijat perisian Heartbleed yang sangat meluas, yang boleh dikatakan risiko Internet terbesar pada masa ini, dilaporkan tidak menjejaskan pelayan Apple. Lubang keselamatan ini menjejaskan sehingga 15% daripada tapak web yang paling banyak dilawati di dunia, tetapi pengguna iCloud atau perkhidmatan Apple yang lain tidak perlu takut. Beliau menyatakan ia adalah pelayan AS Re / kod.
“Apple mengambil serius tentang keselamatan. Baik iOS mahupun OS X tidak pernah mengandungi perisian yang boleh dieksploitasi ini, dan perkhidmatan web utama tidak terjejas," kata Apple kepada Re/code. Oleh itu, pengguna tidak perlu takut untuk log masuk ke iCloud, App Store, iTunes atau iBookstore, atau membeli-belah di e-shop rasmi.
Pakar mengesyorkan menggunakan kata laluan yang berbeza dan cukup kuat pada tapak web individu serta perisian storan seperti 1Password atau Lastpass. Penjana kata laluan terbina dalam Safari juga boleh membantu. Selain daripada langkah-langkah ini, anda tidak perlu mengambil sebarang langkah selanjutnya, kerana Heartbleed bukanlah virus klasik yang akan menyerang peranti pelanggan.
Ia adalah pepijat perisian dalam teknologi kriptografi OpenSSL yang digunakan oleh sebahagian besar laman web dunia. Cacat ini membolehkan penyerang membaca memori sistem pelayan yang diberikan dan mendapatkan, sebagai contoh, data pengguna, kata laluan atau kandungan tersembunyi yang lain.
Pepijat Heartbleed telah wujud selama beberapa tahun, mula-mula muncul pada Disember 2011, dan pembangun perisian OpenSSL mengetahui mengenainya hanya pada tahun ini. Bagaimanapun, tidak jelas berapa lama penyerang mengetahui masalah itu. Mereka boleh memilih daripada portfolio besar tapak web, iaitu Heartbleed bermastautin pada keseluruhan 15 peratus daripada yang paling popular.
Untuk masa yang lama, malah pelayan seperti Yahoo!, Flickr atau StackOverflow terdedah. Tapak web Czech Seznam.cz dan ČSFD atau SME Slovak juga terdedah. Pada masa ini, pengendali mereka telah mendapatkan sebahagian besar pelayan dengan mengemas kini OpenSSL kepada versi tetap yang lebih baharu. Anda boleh mengetahui sama ada tapak web yang anda lawati selamat menggunakan ujian dalam talian yang mudah ujian itu, anda boleh mendapatkan maklumat lanjut di laman web Heartbleed.com.
Saya tidak tahu bagaimana menggunakan kata laluan yang kuat berkaitan dengan masalah Heartbleed. Kata laluan yang kuat boleh diperolehi dengan kelemahan ini dan juga kata laluan yang lemah.
Tambahan pula, untuk mendakwa bahawa pelayan tidak selamat adalah agak bodoh. Bagaimanakah pelayan harus melindungi daripada ralat yang tidak diketahui? Pelayan terdedah.
Apple mendakwa ia tidak menggunakan perisian yang boleh digodam ini. Jadi ia sama ada menggunakan OpenSSL yang lebih lama, tetapi tidak menggunakan OpenSSL sama sekali. Bukannya ia mempunyai keselamatan yang lebih baik.
OpenSSL bukan satu-satunya pelaksanaan SSL. Sebagai contoh, Microsoft juga tidak menggunakan OpenSSL.
Setahu saya, Apple tidak menggunakan penyelesaian SSLnya sendiri, jadi berkemungkinan besar ia menggunakan perpustakaan OpenSSL