Una delle vulnerabilità più note della metà del 2010 si chiamava "Heartbleed". Heartbleed è stato particolarmente grave perché ha interessato il software “OpenSSL”, la principale libreria crittografica per le connessioni HTTPS, molto utilizzata. A peggiorare le cose, la vulnerabilità era presente in OpenSSL da più di due anni prima di essere scoperta, pubblicizzata e corretta, il che significava che molte persone utilizzavano una versione vulnerabile.
Heartbleed era una vulnerabilità di perdita di dati nell'estensione heartbeat che quando veniva sfruttata faceva trapelare dati dalla RAM dal server al client. L'estensione heartbeat viene utilizzata per mantenere una connessione tra il server Web e il client senza effettuare una normale richiesta di pagina.
Nel caso di OpenSSL, il client invia un messaggio al server e informa il server della durata del messaggio, fino a 64 KB. Il server dovrebbe quindi restituire lo stesso messaggio. Fondamentalmente, tuttavia, il server in realtà non ha verificato che il messaggio fosse lungo quanto affermato dal client. Ciò significava che un client poteva inviare un messaggio di 10 KB, affermare che era 64 KB e ottenere una risposta di 64 KB, con i 54 KB aggiuntivi costituiti dai successivi 54 KB di RAM, indipendentemente dai dati archiviati lì. Questo processo è ben visualizzato dal fumetto XKCD #1354 .
Immagine per gentile concessione di xkcd.com .
Effettuando molte piccole richieste di heartbeat e affermando che erano di grandi dimensioni, un utente malintenzionato potrebbe creare un'immagine della maggior parte della RAM del server mettendo insieme le risposte. I dati archiviati nella RAM che potrebbero essere trapelati includono chiavi di crittografia, certificati HTTPS e dati POST non crittografati come nomi utente e password.
Nota: è meno noto, ma il protocollo heartbeat e l'exploit hanno funzionato anche nella direzione opposta. Un server dannoso potrebbe essere stato configurato per leggere fino a 64 KB di memoria utente per richiesta di heartbeat.
Il problema è stato scoperto da più ricercatori di sicurezza in modo indipendente il primo aprile 2014 ed è stato divulgato privatamente a OpenSSL in modo da poter creare una patch. Il bug è stato pubblicizzato quando la patch è stata rilasciata il 7 aprile 2014. La soluzione migliore per risolvere il problema era applicare la patch, ma era anche possibile rimediare al problema disabilitando l'estensione del battito cardiaco se la patch immediata non opzione.
Sfortunatamente, nonostante l'exploit sia pubblico e generalmente ben noto, molti siti Web non si sono ancora aggiornati immediatamente, con la vulnerabilità che viene rilevata occasionalmente anche anni dopo. Ciò ha portato a una serie di casi in cui l'exploit è stato utilizzato per ottenere l'accesso agli account o per la perdita di dati.
Chrome, per impostazione predefinita, non mostra l'URL completo. Potresti non preoccuparti troppo di questo dettaglio, ma se per qualche motivo hai bisogno che venga visualizzato l'URL completo, istruzioni dettagliate su come fare in modo che Google Chrome visualizzi l'URL completo nella barra degli indirizzi.
Reddit ha cambiato nuovamente il design nel gennaio 2024. La riprogettazione può essere vista dagli utenti del browser desktop e restringe il feed principale fornendo collegamenti
Digitare la tua citazione preferita dal tuo libro su Facebook richiede tempo ed è pieno di errori. Scopri come utilizzare Google Lens per copiare testo dai libri sui tuoi dispositivi.
A volte, quando lavori su Chrome, non puoi accedere a determinati siti Web e viene visualizzato un errore "Impossibile trovare l'indirizzo DNS del server di correzione in Chrome". Ecco come puoi risolvere il problema.
I promemoria sono sempre stati il punto forte di Google Home. Sicuramente ci semplificano la vita. Facciamo un breve tour su come creare promemoria su Google Home per non perdere mai di occuparti di commissioni importanti.
Come cambiare la password sul servizio di video in streaming Netflix utilizzando il browser preferito o l'app Android.
Se vuoi eliminare il messaggio Ripristina pagine su Microsoft Edge, chiudi semplicemente il browser o premi il tasto Esc.
Cerchi un'alternativa affidabile a Google Voice per le telefonate? Scopri le migliori alternative di chiamata VoIP a Google Voice.
Un cappello nero è un hacker che vittimizza le persone e infrange la legge. Continua a leggere per saperne di più sull'argomento.
Non sei sicuro di cosa sia un criminale informatico? Un criminale informatico è un criminale che commette reati principalmente utilizzando sistemi informatici.
