Fuori casa per alcuni giorni a causa di un corso, mi sono ritrovato a cercare info su quello che reputo il terzo (Assange, Snowden e adesso Heartbleed) scossone mediatico riguardo la sicurezza e la privacy sul web.
Da notare che gli sviluppatori non ci campano con lo sviluppo di questo software ma un Facebook lo usa ogni volta che ci accedete.
Cito Eagle1 dal suo articolo che trovate in calce:
Inoltre, non è assolutamente nato per fare quello che fa oggi. E dall'industria di settore, sopratutto quelle 3 o 4 aziende che emettono il 90% dei certificati al mondo (e che si stanno strofinando le mani per il business della riemissione, altri soldi per loro) non scuciono un soldo per lo sviluppo dello stesso.
È un pessimo esempio di come funziona l’opensource.
Il consiglio su come muoversi in merito alla minaccia è verificare che i siti che utilizziamo abbiano aggiornato OpenSSL alla versione 1.0.1g, arginando quindi la falla, utilizzando strumenti come http://filippo.io/Heartbleed. Se il sito analizzato non risulta sicuro, evitare di accedere ed effettuare qualsiasi operazione, compreso il cambio password.
Se invece il sito è OK, dai nostri client è necessario terminare tutte le sessioni attive, ripulire tutti i cookie e sostituire la password (operazioni da effettuare anche dai dispositivi mobili come smartphone o simili).
Ho trovato utili e interessanti questi post:
0 commenti:
Posta un commento