Heartbleed - باگ OpenSSL میلیون‌ها وب‌سایت را در معرض خطر قرار داد

امتیاز: ۹ ArashM چهارشنبه ۲۰ فروردین ۱۳۹۳ - ۱۷:۵۶ دیدگاه‌ها ۱ ArashM منبع

ArashM می‌نویسد:

توصیه شده است که کسانی که وب سرورهایی با OpenSSL نسخه‌های ۱.۰.۱ تا ۱.۰.۱f دارن به سرعت نسخه OpenSSL خود را به ۱.۰.۱g یا هر نسخه‌ی بعد از آن بروزرسانی کنند.

یک ایراد امنیتی بزرگ در OpenSSL کشف شده است که ظاهرا کلیدهای cryptographic و اطلاعات محرمانه تعدادی زیادی از سایت‌های مهم و سرویس‌های اینترنتی را در معرض فاش شدن قرار داده است.

این باگ توسط یک سازمان امنیتی به نام Codenomicon و یکی از مهندسان امنیتی گوگل کشف شده است. این عیب امنیتی در کتابخانه‌ی محبوب و پراستفاده‌ی OpenSSL است و باعث می‌شود تا افراد بتوانند اطلاعاتی که در شرایط عادی توسط رمزنگاری‌های SSL یا TLS محافظت شده‌اند، دست پیدا کنند.

می‌توانید برای اطلاعات تخصصی بیشتر به سایت HeartBleed یا این مقاله که به تشریح این مشکل پرداخته است سر بزنید.


فیس‌بوک SSL پیشرفته را پیاده‌سازی می‌کند

امتیاز: ۱۹ دانیال بهزادی یک‌شنبه ۹ تیر ۱۳۹۲ - ۰۱:۰۸ دیدگاه‌ها ۴ دانیال بهزادی منبع

دانیال بهزادی می‌نویسد:

شرکت فیس بوک اعلام کرده است که برای مقابله با شنود آژانس امنیت ملّی امریکا، HTTTPS پیش‌رفته را پیاده سازی می‌کند.
به دلیل استفاده از رمزگذاری قدیمی روی داده‌های فیس‌بوک، آژانس امنیت ملّی امریکا (و دیگر کشورها) تا کنون می‌توانستند به ارتباطات کاربران و این شبکه‌ی اجتماعی دست‌رسی پیدا کرده و آن‌ها را رمزگشایی کنند.
به همین دلیل این شرکت کار پیاده‌سازی نسخه‌ی پیش‌رفته پروتکل تبادل امن اطّلاعات SSL آغاز کرده و مدّعی است که به زودی تمامی گواهی‌نامه‌های خود را از HTTPS عادی با کلید ۱۰۲۴بیتی به نسخه‌ی پیش‌رفته با کلیدهایی به طول ۲۰۴۸بیت ارتقا خواهد داد.
البته این تکنیک پیش‌تر توسّط گوگل ابداع شده بود و در تعداد کمی از سایت‌ها مورد بهره‌برداری قرار گرفته بود، ولی این اقدام فیس‌بوک می‌تواند عامل محرّکی برای ترقیب دیگر وبگاه‌ها برای استفاده از کلیدهایی با طول مضاعف باشد.


SSL مایکروسافت آژور به‌خاطر به‌روزرسانی از کار افتاد

امتیاز: ۸ حامد رمضانیان سه‌شنبه ۱۵ اسفند ۱۳۹۱ - ۱۴:۱۲ دیدگاه‌ها ۰ حامد رمضانیان منبع

حامد رمضانیان می‌نویسد:

در ۲۲ فوریه ماه پیش کاربران مایکروسافت آژور، با پیام انقضای SSL مواجه شدند و در واقع دیگر نمی‌توانستند از این سرویس استفاده کنند.
مایکروسافت در این‌باره توضیح می‌دهد که این به‌خاطر تمدید SSL بوده‌است و قول می‌دهد که دیگر این اتفاق تکرار نشود. :)