Τις τελευταίες μέρες έγινε ευρέως γνωστό ένα από τα μεγαλύτερα -αν όχι το top- security vulnerability του web, θέτοντας τα 2/3 των websites παγκοσμίως σε μέγα κίνδυνο. Πιστεύω έχετε ακούσει και μάθει για το Heartbleed (CVE-2014-0160) .
Κάποιες βασικές τεχνικές πληροφορίες, από την mcafee (δεν ξέρω αν επιτρέπονται τα απ΄ευθείας links στα post του forum,γι' αυτό και τα αστεράκια):
h**p://tif.mcafee.com/threats/11861
Και μια καλή, βασική επεξήγηση στο παρακάτω link:
h**p://www.vox.com/cards/heartbleed/what-is-the-heartbleed-bug
Προσωπικά, θα ήθελα να είμαι βέβαιος-ενημερωμένος για την ασφάλεια των δεδομένων μου στους servers του Πανεπιστημίου, ειδικά του webmail.
Αν και ΗΜΜΥ, δε δηλώνω ειδικός στα θέματα ασφάλειας διαδικτύου. Απλά το θεώρησα σημαντικό, ενημερώθηκα, ρώτησα. Ήθελα να τσεκάρω την ασφάλεια των websites που χρησιμοποιώ και έμαθα ότι υπάρχουν διάφορα SSL/OpenSSL Security Test Sites. Ένα από αυτά μου φάνηκε ιδιαίτερα λεπτομερές και "διαφανές" στην παρουσίαση της πληροφορίας που παρέχει:
h**ps://www.ssllabs.com/ssltest/
Έκανα το test για το webmail.duth.gr. Παρ΄ότι η συνοπτική εκτίμηση του test ήταν ότι o server είναι καταρχήν ασφαλής από το heartbleed, στα στατιστικά για protocol support, key exchange και cipher strength ο server "πάτωσε". Ιδιαίτερα για το protocol support είχε 0% ! Μάλιστα στην αναλυτική περιγραφή, μου είχε ότι το πρωτόκολλο SSL2 που χρησιμοποιεί είναι ανασφαλές (εννοεί τη συγκεκριμένη έκδοση του SSL2).
Επειδή έχει βουίξει ο τόπος με το μέγεθος της "τρύπας ασφαλείας" που δημιουργεί το heartbleed bug, γνωρίζει κάποιος αν είναι ασφαλή τα δεδομένα μας στου servers της Σχολής? Δεν ξέρω αν είμαι ο μόνος που το σκέφτηκε και αν ναι δεν ξέρω αν είναι αυτό ανησυχητικό για εμένα (ασχολούμαι με ασήμαντα μικροπράγματα) ή για την πλειοψηφία. Όπως και να έχει, είναι θέμα ΗΜΜΥ στην ουσία του, οπότε και η συζήτηση είναι ενδιαφέρουσα.