วิกิมีเดีย บล็อก / ฉบับร่าง / Heartbleed

This page is a translated version of the page Wikimedia Blog/Drafts/Heartbleed and the translation is 88% complete.
Outdated translations are marked like this.

This post has been published at https://blog.wikimedia.org/2014/04/10/wikimedias-response-to-the-heartbleed-security-vulnerability/. You are welcome to add translations here.

การตอบสนองของวิกิพีเดียไปที่ "Heartbleed"จุดอ่อนด้านความปลอดภัย

 
โลโก้สำหรับ ข้อผิดพลาด Heartbleed

ในวันที่ 7 เมษายน ปัญหาที่แพร่หลายในองค์ประกอบที่สำคัญของการรักษาความปลอดภัยทางอินเทอร์เน็ต (OpenSSL) ถูกเปิดเผยช่องโหว่ขณะนี้ ได้รับการแก้ไขในทุกวิกิมีเดีย ถ้าคุณอ่านวิกิพีเดียได้โดยไม่ได้สร้างบัญชี จะไม่มีสิ่งร้องขอใดไปหาคุณ หากคุณมีบัญชีผู้ใช้บนวิกิพีเดียใด ๆ ก็ตา คุณจำเป็นต้องเข้าสู่ระบบใหม่อีกครั้ง ในครั้งต่อไปที่คุณจะใช้บัญชีของคุณ

ปัญหาที่เรียกว่าHeartbleedจะช่วยให้ผู้โจมตีสามารถเข้าถึงข้อมูลได้รับการยกเว้นในเว็บไซต์ใด ๆ ที่ใช้รุ่นที่มีช่องโหว่ของซอฟต์แวร์ที่ Wikis เป็นเจ้าภาพโดยมูลนิธิวิกิมีเดียได้รับผลกระทบที่อาจเกิดขึ้นโดยช่องโหว่นี้เป็นเวลาหลายชั่วโมงหลังจากที่มันถูกเปิดเผย แต่เรามีหลักฐานของการยอมความกันที่เกิดขึ้นจริงกับระบบของเราหรือของเราไม่มีผู้ใช้ข้อมูลและเนื่องจากวิธีการเฉพาะเซิร์ฟเวอร์ของเรามีการกำหนดค่า ก็จะได้รับยากมากสำหรับผู้โจมตีจะใช้ประโยชน์จากช่องโหว่ในการสั่งซื้อกับรหัสผ่านผู้ใช้ในวิกิพีเดีย

หลังจากที่เราได้ตระหนักถึงปัญหาจากการที่เราเริ่มการอัพเกรดทั้งหมดของระบบของเรากับรุ่นแพทช์ ของซอฟต์แวร์ในคำถาม จากนั้นเราจะเริ่มการแทนที่ใบรับรอง SSL ให้กับผู้ใช้ที่เริ่มเห็นความสำคัญของใบรับรองและการตั้งค่าสัญญาณเซสชันของผู้ใช้ทั้งหมด ดูเส้นเวลาที่เต็มรูปแบบของการตอบสนองของเราด้านล่าง

ผู้ใช้ที่เข้าสู่ระบบทุกคน จะส่งโทเค็นเซสชั่นลับที่มีการร้องขอไปยังเว็บไซต์ของแต่ละไซต์ ถ้าคนที่ไม่หวังดีก็สามารถที่จะสกัดกั้นโทเค็นที่พวกเขาจะปลอมตัวเป็นผู้ใช้อื่น ๆ ได้ จึงรีเซ็ตสัญญาณสำหรับผู้ใช้ทั้งหมดเพื่อประโยชน์ในการทำให้ผู้ใช้เชื่อมต่อกับเซิร์ฟเวอร์ของเราได้ใช้รุ่นปรับปรุงและมั่นคงของซอฟแวร์ OpenSSL ที่จะถอดการโจมตีที่อาจเกิดขึ้นนี้ได้

เราขอแนะนำให้เปลี่ยนรหัสผ่านของคุณให้เป็นมาตรการป้องกันมาตรฐาน แต่ปัจจุบันเราไม่ได้ตั้งใจที่จะบังคับใช้เปลี่ยนรหัสผ่านสำหรับผู้ใช้ทั้งหมด แต่ก็มีอีกครั้งที่ได้รับหลักฐานที่แสดงว่าผู้ใช้วิกิมีเดียเป็นเป้าหมายจากการโจมตีนี้ แต่เราต้องการให้ผู้ใช้ทั้งหมดของเรามีบัญชีเป็นที่ปลอดภัยที่สุด

ขอบคุณสำหรับความเข้าใจและความอดทนของคุณ

Greg Grossmeier ในนามของการดำเนินงาน WMF และทีมงานแพลทฟอร์ม

เส้นเวลาการตอบสนองของวิกิมีเดีย

(เวลาที่อยู่ใน UTC)

7 เมษานยน

8 เมษายน

9 เมษายน

10 เมษายน

คำถามที่ถามบ่อย

(ข้อมูลส่วนนี้จะมีการขยายตัวได้ตามต้องการ)

  • ทำไมไม่ขึ้นว่า "ไม่สามารถใช้ได้ก่อน" วันที่ในใบรับรอง SSL ของคุณ จะเปลี่ยนแปลงได้หรือไม่ถ้าคุณได้เปลี่ยนไปแล้ว
    ผู้ให้บริการใบรับรอง SSL ของเราช่วยให้ต้นฉบับ "ไม่สามารถใช้ได้ก่อน" วันที่ (บางครั้งเรียกว่าไม่ถูกต้องเป็น "ออกเมื่อวันที่" ) ในใบรับรองแทนที่ใด ๆ นี้ไม่ได้เป็นเรื่องแปลกที่การปฏิบัติ นอกเหนือจากการมองไปที่การเปลี่ยนแปลงไฟล์ .pem เชื่อมโยงดังกล่าวในเส้นเวลา, วิธีอื่น ๆ ของการตรวจสอบว่าการเปลี่ยนที่เกิดขึ้นคือการเปรียบเทียบลายนิ้วมือของใบรับรองใหม่ของเรากับก่อนหน้านี้ของเรา