Heartbleed - Bug nelle librerie di crittografica del traffico WebHeartbleed, il bug scovato pochi giorni fa in OpenSSL, ma presente da ben due anni, è stato risolto con il rilascio di una versione aggiornata, ma la certezza che questa versione sia stata effettivamente installata sui server dei vari siti web non c’è. Probabilmente in queste ore state ricevendo una grande quantità di mail da parte di servizi a cui siete iscritti che vi invitano a cambiare i Vostri dati di accesso. Può essere però molto utile poter verificare se un sito web che si sta visitando ha proceduto all’aggiornamento di OpenSSL, fatelo utilizzando una di queste possibilità:
https://www.ssllabs.com/ssltest/
https://lastpass.com/heartbleed/
http://filippo.io/Heartbleed/
Se l’aggiornamento non è stato effettuato i Vostri dati sono ancora a rischio, e cambiare password non servirà a nulla !

Tagged with:  

Heartbleed - Bug nelle librerie di crittografica del traffico WebAvete sentito parlare di Heartbleed negli ultimi giorni ? Heartbleed è un grave bug individuato nel sistema di crittografia open-source denominato OpenSSL, implementazione open source dei protocolli SSL e TLS, che rappresenta la più diffusa libreria utilizzata per cifrare il traffico web. Il bug è molto pericoloso in quanto permette di rubare informazioni protette con la cifratura SSL/TLS, quella che permette alle pagine di mostrarsi con il lucchetto chiuso ad indicare che sulla pagina è attiva la protezione. Acquisti Online, servizi di remote banking, mail, instant messaging (IM), reti virtual private network (VPN) ecc., sono molti gli ambiti di utilizzo che si è scoperto ora essere potenzialmente a rischio. Alcune dellee versioni di Open SSL contenenti il bug sono in circolazione da due anni, quelle a rischio sono la versione 1.0.1 e 1.0.1f, e la prerelease 1.0.2, presenti in molti sistemi operativi Unix-based e in distribuzioni Linux come Debian, Ubuntu, CentOS, Fedora, OpenBSD, FreeBSD, NetBSD e OpenSUSE. Da qualche giorno sono disponibili  versioni aggiornate di OpenSSL che eliminano il problema, ma l’aggiornamento dei siti web e dei servizi che utilizzano le versioni incriminate e la loro tempestività è a discrezione dell’amminstratore o del gestore. Per poter verificare la presenza della vulnerabilità è stato realizzato un sito ad hoc, che però pare non essere affidabile al 100%. Non basterà inoltre effettuare l’aggiornamento perchè le chiavi di cifratura in circolazione potrebbero essere state intercettate, occore quindi richiamarle e generarne di nuove. Tra le società che sembrano aver verificato la presenza del rischio ci sono Amazon e Yahoo, tra quelle che non sono state a rischio, perchè utilizzano differenti implementazoni di SSL/TLS, troviamo Apple, Google e varie banche. Maggiori informazioni sul sito dedicato heartbleed.com.

Tagged with:  

La tua opinione è importante !

Hai idee o suggerimenti per migliorare Nonsolomac ? Facci conoscere la tua opinione, sarà per noi stimolo e spunto per i prossimi sviluppi del sito. Scrivi a

Archivio articoli

Siamo su MyAppleSpace !