RSS
Словарь компьютерных терминов    1_9  A  B  C  D  E  F  G  H  I  J  K  L  M  N  O  P  Q  R  S  T  U  V  W  X  Y  Z   .....  A  Б  В  Г  Д  Ж  З  И  К  Л  М  Н  О  П  Р  С  Т  У  Ф  Х  Ц  Ч

РАЗДЕЛЫ
  Windows10
    Registry Windows 10
    Windows 10 tweaks & tricks
Windows8
Tweaks & tricks
    Network settings
    Registry
Windows7
Windows7: General settings
    Windows7: Registry
    Windows7: Registry faq
    Настройки оболочки Windows7 в реестре
    Windows7: Network settings
    Настройки Internet Explorer в реестре
    Windows7: Security
    Windows7: Firewall
    Windows7: Compatibility Mode
    Windows7: Administrator Password
    Windows7: Панель управления
    Тонкие настройки Windows7
Windows NT/2K/XP/VISTA Windows NT/2K/XP/VISTA
  Win 2K faq Win PE
    Win Vista
    Win Vista FAQ
    Win Server tweaks
Registry Registry
Reg WIN2K/XP faq
Reg WIN2K/XP faq #2
Reg NT/XP: Structure
Reg XP: Restore & backup
Reg XP: Costumize XP
Reg XP: Inet
Reg NT/XP: SAM
Reg: Inet & LAN
BIOS BIOS
BIOS faq
BIOS recover
BIOS #
Карта сайта  Память
Карта сайта SDRAM
    DDR
    DDR2
    DDR3
    Quad Band Memory (QBM)
    SRAM
    RDRAM
    FeRAM
    RAM faq
Словарь терминов Словарь терминов
Справочник по мета тегам HTML
Справочник по мета тегам
XML
DHTML
CGI
PHP
DLE faq
Файл .htaccess
Настройка robots.txt
Flash
Search engine optimization and site usability SEO
INET
computer ambulance

Эволюция безопасности OpenSSL


В апреле 2014 года мир узнал, что OpenSSL был подвержен критической уязвимости, получившей название Heartbleed и отслеживаемой как CVE-2014-0160, которую можно было использовать для кражи потенциально конфиденциальной информации из предположительно защищенных соединений, не оставляя следов.

«Ошибка Heartbleed позволяет любому пользователю Интернета читать память систем, защищенных уязвимыми версиями программного обеспечения OpenSSL», - обнаружили исследователи Heartbleed на веб-сайте, посвященном этой уязвимости. «Это компрометирует секретные ключи, используемые для идентификации поставщиков услуг и для шифрования трафика, имен и паролей пользователей и фактического контента. Это позволяет злоумышленникам подслушивать сообщения, красть данные непосредственно у служб и пользователей и выдавать себя за службы и пользователей».

Были некоторые сообщения о нападениях, использующих Heartbleed после его раскрытия, и даже утверждалось, что АНБ узнало об уязвимости до его раскрытия и использовало его для сбора критических сведений.

Обнаружение и раскрытие уязвимости Heartbleed стало поворотным моментом для OpenSSL.

После раскрытия и исправления Heartbleed в апреле 2014 года сообщество кибербезопасности и индустрия технологий переключили свое внимание на проект с открытым исходным кодом, и все начало меняться. Проект получил значительное финансирование, и все больше людей стали участвовать в его разработке.

В то время как в OpenSSL было обнаружено около десятка критических уязвимостей и уязвимостей высокой степени опасности между раскрытием Heartbleed и концом 2016 года, в 2017 году был выявлен только один недостаток высокой степени серьезности, а в 2018 и 2019 годах большинство исправленных слабых мест были низкими.

Мэтт Касвелл, член комитета управления OpenSSL, рассказал, что после раскрытия Heartbleed произошла серьезная реорганизация проекта.

«До этого времени у нас было всего несколько человек, регулярно делавших коммиты на проекте, и никто не был сосредоточен исключительно на его постоянной поддержке. Из-за нехватки ресурсов сообществу было очень трудно принять участие в проекте и внедрить свои патчи», - пояснил Касвелл. «Одним из первых, что мы сделали [в рамках реорганизации], было привлечение новых людей в проект, и мы сознательно приступили к созданию сообщества».

В настоящее время есть два человека, которые работают полный рабочий день над кодом OpenSSL, который не включает лиц, назначенных их организацией для работы над проектом. В команде коммиттеров также есть 16 человек и еще больше в более широком сообществе, которые вносят исправления.

Согласно Касвелл, 30 участников OpenSSL сделали 469 коммитов в основной ветке в 2013 году, что было последним полным годом до раскрытия Heartbleed. Для сравнения, в 2019 году около 150 авторов сделали более 1800 коммитов.

«Это более широкое вовлечение сообщества означает, что у нас действительно есть гораздо больше глаз на код и гораздо более здоровый проект», - сказал Касвелл.

После Heartbleed проект OpenSSL также начал концентрироваться на качестве кода и ввел обязательный процесс проверки кода для всех коммитов, гарантируя, что каждая строка кода проверяется по крайней мере двумя опытными разработчиками, прежде чем быть принятыми.

Другие шаги, предпринятые в последние годы в целях повышения безопасности, включали в себя многочисленные внешние аудиты кодовой базы, существенные дополнения к встроенной тестовой среде, интегрированное тестирование фаз, регулярный статический анализ кодовой базы и интеграцию в Travis и AppVeyor для обеспечения того, что все запросы извлечения постоянно проверяются.

«Благодаря дополнительному участию сообщества, которое у нас было, это позволило нам переписать значительную часть библиотеки, которая нуждалась в обновлении», - сказал Касвелл. «Например, за последние годы конечный автомат SSL/TLS был полностью переписан, и у нас появился совершенно новый высококачественный компонент генерации случайных чисел».

Касвелл отметил, что большее количество серьезных уязвимостей, исправленных в 2015 и 2016 годах, было результатом того, что исследователи безопасности все больше интересовались проектом после открытия Heartbleed.

В то время как проект продолжает привлекать внимание исследовательского сообщества, число уязвимостей, обнаруженных в OpenSSL за последние два года, значительно уменьшилось, что, по мнению Касвелла, является результатом повышения безопасности OpenSSL.

Фактически, одна из двух групп, удостоенных премии Левчина за криптографию в 2018 году, была командой OpenSSL, признанной за «значительные улучшения качества кода OpenSSL».

Проект OpenSSL получил финансирование из различных источников после открытия Heartbleed, включая Инициативу базовой инфраструктуры Linux Foundation (CII). Тем не менее, Касвелл говорит, что почти все это первоначальное финансирование уже закончилось, и они продолжают искать организации, которые готовы поддержать проект.

«Получение стабильного долгосрочного финансового положения для проекта продолжает оставаться для нас проблемой. У нас есть ряд организаций, которые отдают время персоналу для проекта, и ряд организаций, которые спонсировали наш текущий проект FIPS», - сказал он. «Мы очень благодарны всем тем организациям, которые внесли свой вклад».

OpenSSL также покрывается размещаемой HackerOne Internet Bug Bounty, благодаря которой исследователи, обнаружившие уязвимости в коде, получили вознаграждение на общую сумму более 31000 долларов.


Микроформаты и микроданные | Типографика в онлайн-текстах | Как добиться хорошего индексирования? | Интерактивная поисковая выдача | Использование виджетов на сайте | | | Яндекс Метрика и Google Analytics: настройка целей | Контекстная реклама: как составить эффективное объявление | Особенности контекстной рекламы для интернет-магазинов | Технологии реферального маркетинга: от простых к высокодоходным | Статейное продвижение сайта | Тизерная реклама: принципы работы, фишки, эффективность | SEO-продвижение сообществ ВКонтакте | Контентный маркетинг | Технология RTB | Что такое сквозные ссылки |   | Благотворительность
| Sitemap