всегда заботился о защите конфиденциальности наших пользователей. Мы стараемся не регистрировать IP-адреса, и когда Эдвард Сноуден продемонстрировал, что трафик, проходящий через открытый интернет, не защищён от правительственной слежки, мы включили шифрование по умолчанию на наших веб-сервисах. К сожалению, некоторые из используемых нами программ для шифрования (а также более половины сайтов в интернете) оказались уязвимы из-за ошибки «Heartbleed» ; мы обновили наше программное обеспечение, чтобы исправить эту проблему.
Немного подробнее: в распространённом фрагменте кода OpenSSL была обнаружена уязвимость безопасности, которая позволяла любому пользователю Интернета просканировать уязвимый Магазин сервер и прочитать набор данных, хранящихся в оперативной памяти этого удалённого процесса. Это можно было использовать для чтения «закрытого ключа» сайта, что позволяло злоумышленнику, перехватывающему трафик, выдавать себя за другой веб-сайт с помощью так называемой атаки «человек посередине». Если был записан зашифрованный трафик сайта, то можно было бы вернуться к текущему моменту с помощью закрытого ключа и посмотреть, что происходило в этих веб-сеансах. Если вам нужно более подробное объяснение «Heartbleed», вы можете посмотреть видеообзор .
Некоторые веб-сервисы Архива Интернета до вчерашнего дня использовали уязвимую версию OpenSSL. На данный момент сервисы Архива Интернета обновлены, и мы будем обновлять наш закрытый ключ на случай его компрометации. В некоторых наших сервисах мы используем « совершенную прямую секретность », поэтому даже если наш закрытый ключ будет украден, и кто-то записал прошлый трафик, и если кто-то захочет узнать, что было прочитано, он всё равно не сможет его получить. В будущем мы внедрим это во все сервисы. На нашем сайте есть полезный отчёт Qualys SSL Labs.
- Board index
- All times are UTC
- Delete cookies
- Contact us