Koniec OpenSLL dla przeglądarki Chrome
OpenSSL to dziurawa biblioteka, przez którą pojawił się groźny bug Heartbleed.
Takie między innymi nagłówki można znaleźć niektórych artykułów? Czym jest OpenSSL?
OpenSSL w moim języku to po prostu szyfrowanie, ale w języku normalnego użytkownika internetu będzie czarną magią. OpenSSL czyli nic innego jak algorytm kryptograficzny ogólnego przeznaczenia.
Za pomocą OpenSSL Crypto Library można m.in. obliczać funkcję strótu wiadomości (m.in. MD5 i SHA-1) oraz szyfrować dane popularnymi algorytmami kryptograficznymi, m.in. Blowfish, AES, IDEA, 3DES.
Służy głównie do tworzenia kluczy oraz certyfikatów. Odkryto w ostatnim czasie jednak pewną lukę.
Wiemy, że otwarte oprogramowanie ma swoje wady oraz zalety. Zaletą jest to, że użytkownik może szybko wykryć błędy w kodzie. Użytkownicy tworzą listę zmian, co pomoże szybciej naprawić usterkę. Tak samo było w przypadku mniej znanego systemu operacyjnego, Linux. To użytkownicy wciąż mogą edytować zmiany i doskonalić. Stąd pokaźna liczba wersji tego systemu.
Lukę odkryto dopiero po dwóch latach. Luka ta dotyczy bardzo dużej części popularnych serwisów i portali. Mowa m.in. o poczcie Gmail (konta google) oraz Facebooku. Właściciele polecają zmienić hasła na swoich kontach.
Zdaniem niektórych nie ma już sensu stosowania tej biblioteki, ponieważ zostało wydane koło 70 łatek poprawiających jej funkcjonalność. Zatem lepiej sprawuje się w tym przypadku BoringSSL, niż ferelne OpenSSL. Firma Google deklaruje jednak, że OpenSSL nie zostanie od tak zapomniane. Wciąż będzie biblioteką wspieraną przy tworzeniu łatek oraz wyszukiwaniu bugów.
Zagrożone mają być osoby, które korzystają z urządzeń m.in. Cisco i Juniper Networks. Firmy wspólnie ogłosiły, że w przypadku ich routerów Heartbleed Bug nadal jest zagrożeniem i dzięki niemu możliwe jest ominięcie przez osobę nieuprawnioną protokołów bezpieczeństwa.
Czy zatem jest sens siania paniki wśród użytkowników? Opinie są różne, zdania ludzi są podzielone. Niektórzy uważają, że OpenSSL zdecydowanie powinien zniknąć, drudzy twierdzą, że nie.
Moim zdaniem oprogramowanie ma to do siebie, że trzeba stale nad nim pracować, poprawiać błędy oraz je niwelować. Z drugiej strony czy jest sens ciągłego “poprawiania” felernego oprogramowania?
Sporym zagrożeniem w tym przypadku jest Heartbleed Bug, który może być wykorzystywany do ataków hakerów. Owszem, w przypadku serwerów a nie kilku jednostek użytkowników, co moim zdaniem panika jest nie na miejscu.
Oczywiście wykrycie Heartbleed nie oznacza, że nic w sprawie luki nie można zrobić. 7 kwietnia 2014 roku pojawiła się poprawiona wersja OpenSSL i wszyscy administratorzy serwisów wykorzystujących ten protokół powinni zainstalować ją jak najszybciej.
-mówi Maciej Ziarek, ekspert ds. bezpieczeństwa IT, Kaspersky Lab Polska
Jednak nie od dziś wiadomo, że cykliczna zmiana haseł jest zawsze wskazana, ale wina nie leży wtedy po stronie haseł tylko po stronie serwerów.
W przyszłości mamy nadzieję, że rezygnacja z OpenSSL jest słuszna. Nawet jeśli chodzi o narażenie bezpieczeństwa m.in. serwerów banków.