karşıdaki serverı manav gibi düşün. herbir malın bir tanesi 1 lira olsun.
normal işleyişte sen gidip 1 lira verip 1 elma diyorsun. bilgisayar 1 elma veriyor.
2 lira verip 2 armut diyorsun 2 armut veriyor.
sonra bu açık kapsamında 1 lira verip 1000 elma diyorsun, manav elinde avucunda dükkanda ne varsa veriyor 1000 adede kadar. bunları narasında private key olma olasılığı var elbette.
bir satırlık openssl hatasıdır. iki satıra çıkarılarak çözülmüştür.
kaliteli olmaya çalışan sözlük benzeri platformlar öncelikle gündelik bilgi kirliliği içinden bir tutam da olsa işe yarar bilgi alabilen işleyebilen yazarlara ihtiyaç duyar. halbuki kaliteli olalım diye seferberlik başlatılan uludağ sözlük ahalisi içinden sadece iki bu güncel ve son derece önemli konu hakkında entry girmiştir.
hataysa hata bana ne amkcılar için şifresini değiştirmeniz gereken platformları copy paste'liyeyim:
-Google (Gmail de dahil)
-Yahoo (Yahoo Mail de dahil)
-Facebook (kesin değil, ama şifre değiştirmekte fayda var)
-Instagram
-Pinterest
-Tumblr
-GoDaddy
-TurboTax
-USAA
-Dropbox
-GitHub
-OKCupid
-SoundCloud
önce şifrelerinizi değiştiriniz, sonra sözlüğü kalitelileştiriniz.
kalabilirler'in entrysi kapsamında teknik bilgi de vereyim tam olsun.
openssl bilgisayarların birbirleri arasında güvenli iletişim sağlamak için kullanılan bir protokol. yukarıda asres satırında http(s) yazar bazı sitelerde. o -s- secure anlamındadır ve iletişimin şifrelendiği anlamına gelir. bu şifreleme de 128bit ya da 256 bit olarak yapılır. bu tip şifrelemelerde iletişimi izleyen birisi datayı çekse bile elindeki metin anlamsız kalır private key gerekir. bu key olmadan yapabileceği tek şey bruteforce yöntemi ile tek tek olası keyleri denemektir. bu da 128 bit şifrelenmiş veri üzerinde iyi ramli bir bilgisayar ile nereden baksan 2 sene demek.
bilgisayalar arası iletişim sırasında istemci bilgisayar servera bana veri gönder derken uzunluk belirterek gönderir. yani apple ver 5 harf der. openssl bunu alır servera belirtir server yanıt verir. öte yandan heartbleed açığı ile,openssl sağolsun bu uzunluk kontrolünü gelen veri üzerinden yapmıyor onun yerine client tarafının söylediği uzunluğu direk kabul ediyor.
yani apple 1000 harf diyor ve server bunu ok diyerek 1000 harfi gönderiyor. tabi bunu o anda hafızasında kalan veri üzerinden gönderiyor. bu veri de şifreli ama private key denilen ve tüm herşeyi şifreleyen key de gelebilir arada.
cve-2014-0160 adlı büyük openssl açığı. açık openssl'in heartbeat mekanizmasında yer aldığı için heartbleed ismi verilmiştir. openssl 1.0.1g sürümü ile kapatılmış açık 14 mart 2012'den beri piyasadaymış.bu süreç dahilinde heartbleed içeren bir openssl sürümü kullandıysanız açık kapatıldıktan sonra en azından ssl sertifikalarınızı reissue etmenizde fayda var.
Tripadvisor dan konuyla ilgili olarak şöyle bir mail alınmıştır:
-------------------------------------
Kullanıcı hesaplarımızın veya web sitelerimizin hiçbirinin, son zamanlarda haberlerde adı geçen Heartbleed güvenlik sorunundan etkilenmediği konusunda sizi temin etmek isteriz.
Bununla beraber, çevrimiçi hesaplarınızın güvenliğini sağlamak için düzenli olarak parolalarınızı güncellemeniz tavsiye edilmektedir.
