Startsidan  ›  Ämnesstruktur  ›  Övrigt  ›  Heartbleed och Jetshop

Heartbleed och Jetshop

Etiketter: , , , ,

Jetshop använder sig INTE av OpenSSL så det är ingen av våra butiker som drabbas av Heartbleed.  Vad är då denna omskrivna bugg? Nedan följer lite texter som vi tycker förklarar det bra och om man inte gillar att läsa finns även en bild längst ner (du kan klicka på den lilla bilden precis här under för att skippa texten).

Heartbleed in pictures

Allt händer i OpenSSL. OpenSSL en samling funktioner och algoritmer som många olika program kan dela på, ett så kallat bibliotek.  Det används i många olika program som använder kryptering, från webbservrar till chattprogram.

OpenSSL har som en av sina funktioner en så kallad heartbeat-funktion. Om du öppnar en säker anslutning till en server och vill skicka och ta emot data under en längre tid (tänk push-meddelanden, e-post eller bara Twitters och Facebooks strömmande timelines) behöver du något sätt för att se till att anslutningen inte stängs ner. Brandväggar, routers och annat skräp på vägen kan lätt få för sig att det har varit tyst för länge i en anslutning och då stängs den ner. Att öppna den igen är, eftersom den är krypterad, en ganska kostsam operation. Det ska förhandlas nycklar och verifieras identiteter och grejer. Så lösningen är att ha ett hjärtslag, en signal som kan skickas då
och då om ingenting annat skickas, för att hålla anslutningen öppen och för att se till att datorn i andra änden av anslutningen finns kvar.

Källa: http://bloggar.computersweden.idg.se/natpolitik/2014/04/09/heartbleed-aka-cve-2014-0160

Buggen gör att en liten (mycket liten) del av servern minne kan läsas utifrån internet. Man vet inte vilken smula av det stora minnet man får ut, men man kan å andra sidan utnyttja sårbarheten många gånger och till sist få ut
en ganska stor del av servern minne.

Kronjuvelen i serverns minne är den krypteringsnyckel som skyddar informationen när den skickas fram och tillbaka över internet mellan servern och klienten. Om någon lyckas komma över den nyckeln är all kryptering från den servern värdelös ur säkerhetssynpunkt.

Som det ser ut just nu kan man likna buggen med att man doppar ner ett dricksglas i en 25-metersbassäng med vatten och hoppas fånga en liten guppy som simmar runt där (guppyn är krypteringsnyckeln).

Källa: http://techblog.se/2014/04/09/ett-frsk-att-frklara-heartbleed-buggen/

 

Heartbleed comic by xkcd

Källa: http://imgs.xkcd.com/comics/heartbleed_explanation.png

 

 


Hjälp oss förbättra inlägget Skicka dina kommentarer