সাম্প্রতিক হার্টবেল্ড বাগটি আমি যে এসএসএস কীগুলি তৈরি করেছি এবং গিথুব, হেরোকু এবং অন্যান্য অনুরূপ সাইটগুলির সাথে কোডটি পুশ / টানতে ব্যবহার করে তা কী প্রভাব ফেলে?
আমি যে কীগুলি ব্যবহার করছি তা প্রতিস্থাপন করা দরকার?
সাম্প্রতিক হার্টবেল্ড বাগটি আমি যে এসএসএস কীগুলি তৈরি করেছি এবং গিথুব, হেরোকু এবং অন্যান্য অনুরূপ সাইটগুলির সাথে কোডটি পুশ / টানতে ব্যবহার করে তা কী প্রভাব ফেলে?
আমি যে কীগুলি ব্যবহার করছি তা প্রতিস্থাপন করা দরকার?
উত্তর:
না, হার্টবেল্ড সত্যই এসএসএইচ কীগুলিকে প্রভাবিত করে না, সুতরাং আপনার সম্ভবত ব্যবহৃত এসএসএইচ কীগুলি প্রতিস্থাপনের প্রয়োজন হবে না।
প্রথমত, এসএসএল এবং এসএসএইচ দুটি পৃথক ব্যবহারের জন্য দুটি পৃথক সুরক্ষা প্রোটোকল। তেমনি, ওপেনএসএসএল এবং ওপেনএসএসএইচ দুটি সম্পূর্ণ ভিন্ন সফ্টওয়্যার প্যাকেজ, তাদের নামের সাথে মিল থাকলেও।
দ্বিতীয়ত, হার্টবেল্ড এক্সপ্লিটটি দুর্বল ওপেনএসএসএল টিএলএস / ডিটিএলএস পিয়ারকে এলোমেলো k৪ কেবি মেমরি ফিরিয়ে আনতে পারে তবে এটি অবশ্যই ওপেনএসএসএল-ব্যবহার প্রক্রিয়াতে অ্যাক্সেসযোগ্য মেমরির মধ্যে সীমাবদ্ধ রয়েছে। যদি ওপেনএসএসএল-ব্যবহারের প্রক্রিয়াটিতে আপনার এসএসএইচ ব্যক্তিগত কীতে অ্যাক্সেস না থাকে তবে এটি হার্টবেলডের মাধ্যমে এটি ফাঁস করতে পারে না।
এছাড়াও, আপনি সাধারণত সংযুক্ত হওয়ার জন্য এসএসএইচ ব্যবহার করেন এমন সার্ভারগুলিতে আপনার এসএসএইচ পাবলিক কীটি রেখে দেন এবং নামটি থেকে বোঝা যায়, একটি পাবলিক কী এমন একটি কী যা আপনি প্রচার করতে পারেন। কে জানে তা বিবেচ্য নয়। আসলে, আপনি জনসাধারণকে আপনার সঠিক পাবলিক কীটি জানতে চান to
ওবুএসএসএল এর দুর্বল সংস্করণগুলি তাদের ক্লায়েন্ট-সাইড টিএলএস / ডিটিএলএস লাইব্রেরি হিসাবে ব্যবহার করে এমন দুর্বলতা ক্লায়েন্ট অ্যাপগুলিকে প্রভাবিত করতে পারে বলে উল্লেখ করার জন্য @ بابোকে ধন্যবাদ জানাই Thanks সুতরাং, উদাহরণস্বরূপ, যদি আপনার ওয়েব ব্রাউজার বা আপনার এসএসএল-ভিত্তিক ভিপিএন ক্লায়েন্ট ওপেনএসএসএল এর একটি দুর্বল সংস্করণ ব্যবহার করে এবং একটি দূষিত সার্ভারের সাথে সংযুক্ত থাকে, তবে সেই দূষিত সার্ভারটি সেই ক্লায়েন্ট সফ্টওয়্যারটির মেমরির এলোমেলো স্নিপেটগুলি দেখার জন্য হার্টলেড ব্যবহার করতে পারে। যদি সেই ক্লায়েন্ট অ্যাপ্লিকেশনটিতে কোনও কারণে আপনার এসএসএইচ প্রাইভেট কীগুলির মেমরির একটি অনুলিপি থাকে, তবে এটি হার্টলেডের মাধ্যমে ফাঁস হতে পারে।
আমার মাথার শীর্ষে, আমি এসএসএইচ ছাড়া এমন কোনও সফ্টওয়্যার নিয়ে ভাবছি না যা মেমরিতে আপনার এনক্রিপ্ট করা এসএসএইচ প্রাইভেট কীটির একটি অনুলিপি রাখতে পারে। ভাল, এটি ধরে নিয়েছে যে আপনি আপনার এসএসএইচ প্রাইভেট কীগুলি ডিস্কে এনক্রিপ্ট করেছেন। আপনি যদি নিজের এসএসএইচ প্রাইভেট কীগুলি ডিস্কে এনক্রিপ্ট না রাখেন তবে আমি মনে করি আপনি নেটওয়ার্কের মাধ্যমে আপনার হোম ডিরেক্টরিটি অনুলিপি করতে বা ব্যাকআপ করতে কিছু ওপেনএসএসএল টিএলএস-ব্যবহার করে ফাইল স্থানান্তর বা ব্যাকআপ প্রোগ্রাম ব্যবহার করতে পারতেন (আপনার ~/.ssh/id_rsaবা অন্য এসএসএইচ প্রাইভেট কী সহ) ), তারপরে এটিতে মেমরিতে আপনার এসএসএইচ প্রাইভেট কীটির একটি এনক্রিপ্ট করা অনুলিপি থাকতে পারে। তারপরে আবার, আপনি যদি কোনও ক্ষতিকারক সার্ভারে আপনার এনক্রিপ্ট করা এসএসএইচ ব্যক্তিগত কীটিকে ব্যাক আপ করছেন, আপনি সম্ভবত হার্টবলিডের চেয়ে বড় উদ্বেগ পেয়ে গেছেন। :-)
"দ্বিতীয়ত, হৃদয়গ্রাহী শোষণ দুর্বল ওপেনএসএসএল টিএলএস / ডিটিএলএস পিয়ারকে এলোমেলো k৪ কেবি মেমরি ফিরিয়ে আনায়, তবে এটি অবশ্যই ওপেনএসএসএল-ব্যবহার প্রক্রিয়াতে অ্যাক্সেসযোগ্য মেমরির মধ্যে সীমাবদ্ধ রয়েছে।"
যদি মেশিনটি আপস হয়ে যায় তবে আপনি কীভাবে এটিতে এসএসএস সহ কোনও কিছুতে বিশ্বাস করতে পারেন? হার্টলিড.কম থেকে
"অনুশীলনে কি ফুটো?
আমরা আক্রমণকারীর দৃষ্টিকোণ থেকে আমাদের নিজস্ব কিছু পরিষেবা পরীক্ষা করেছি। আমরা কোনও চিহ্ন ছাড়াই বাইরে থেকে নিজেদের আক্রমণ করেছি। কোনও সুবিধাযুক্ত তথ্য বা শংসাপত্রাদি ব্যবহার না করে আমরা আমাদের X.509 শংসাপত্র, ব্যবহারকারীর নাম এবং পাসওয়ার্ড, তাত্ক্ষণিক বার্তা, ইমেল এবং ব্যবসায়িক সমালোচনামূলক নথি এবং যোগাযোগের জন্য ব্যবহৃত গোপন কীগুলি চুরি করতে সক্ষম হয়েছি। "
যে কোনও সার্ভারে কোনও পাসফ্রেজ না দিয়ে একটি প্রাইভেট কী রেখেছিল, তারা ধরে নিয়েছে যে এটি দূষিত নয় ... তবে পরিণত হয়েছে। খ / সি এস এস বাগটি ব্যবহারকারীর পাসওয়ার্ড আউট করার অনুমতি দিয়েছে, এমন একটি ব্যবহারকারী যার 'সুডো' ছিল ... এটি সম্ভবত কোনও সমস্যা নয় .... তবে ...
মানুষ কখনও কখনও পাগল জিনিস না
http://blog.visionsource.org/2010/08/28/mining-passwords-from-public-github-repositories/