วิกิมีเดีย บล็อก / ฉบับร่าง / Heartbleed

From Meta, a Wikimedia project coordination wiki
Jump to navigation Jump to search
This page is a translated version of the page Wikimedia Blog/Drafts/Heartbleed and the translation is 91% complete.

Outdated translations are marked like this.

This post has been published at https://blog.wikimedia.org/2014/04/10/wikimedias-response-to-the-heartbleed-security-vulnerability/ . You are welcome to add translations here.

Other languages:
Bahasa Indonesia • ‎Bahasa Melayu • ‎British English • ‎Deutsch • ‎English • ‎Latina • ‎Nederlands • ‎Tiếng Việt • ‎Türkçe • ‎asturianu • ‎azərbaycanca • ‎dansk • ‎español • ‎français • ‎italiano • ‎magyar • ‎polski • ‎português • ‎português do Brasil • ‎suomi • ‎svenska • ‎Österreichisches Deutsch • ‎čeština • ‎русский • ‎татарча/tatarça • ‎українська • ‎ייִדיש • ‎עברית • ‎العربية • ‎فارسی • ‎مصرى • ‎ଓଡ଼ିଆ • ‎தமிழ் • ‎മലയാളം • ‎ไทย • ‎中文 • ‎日本語 • ‎한국어

การตอบสนองของวิกิพีเดียไปที่ "Heartbleed"จุดอ่อนด้านความปลอดภัย

โลโก้สำหรับ ข้อผิดพลาด Heartbleed

ในวันที่ 7 เมษายน ปัญหาที่แพร่หลายในองค์ประกอบที่สำคัญของการรักษาความปลอดภัยทางอินเทอร์เน็ต (OpenSSL) ถูกเปิดเผยช่องโหว่ขณะนี้ ได้รับการแก้ไขในทุกวิกิมีเดีย ถ้าคุณอ่านวิกิพีเดียได้โดยไม่ได้สร้างบัญชี จะไม่มีสิ่งร้องขอใดไปหาคุณ หากคุณมีบัญชีผู้ใช้บนวิกิพีเดียใด ๆ ก็ตา คุณจำเป็นต้องเข้าสู่ระบบใหม่อีกครั้ง ในครั้งต่อไปที่คุณจะใช้บัญชีของคุณ

ปัญหาที่เรียกว่าHeartbleedจะช่วยให้ผู้โจมตีสามารถเข้าถึงข้อมูลได้รับการยกเว้นในเว็บไซต์ใด ๆ ที่ใช้รุ่นที่มีช่องโหว่ของซอฟต์แวร์ที่ Wikis เป็นเจ้าภาพโดยมูลนิธิวิกิมีเดียได้รับผลกระทบที่อาจเกิดขึ้นโดยช่องโหว่นี้เป็นเวลาหลายชั่วโมงหลังจากที่มันถูกเปิดเผย แต่เรามีหลักฐานของการยอมความกันที่เกิดขึ้นจริงกับระบบของเราหรือของเราไม่มีผู้ใช้ข้อมูลและเนื่องจากวิธีการเฉพาะเซิร์ฟเวอร์ของเรามีการกำหนดค่า ก็จะได้รับยากมากสำหรับผู้โจมตีจะใช้ประโยชน์จากช่องโหว่ในการสั่งซื้อกับรหัสผ่านผู้ใช้ในวิกิพีเดีย

หลังจากที่เราได้ตระหนักถึงปัญหาจากการที่เราเริ่มการอัพเกรดทั้งหมดของระบบของเรากับรุ่นแพทช์ ของซอฟต์แวร์ในคำถาม จากนั้นเราจะเริ่มการแทนที่ใบรับรอง SSL ให้กับผู้ใช้ที่เริ่มเห็นความสำคัญของใบรับรองและการตั้งค่าสัญญาณเซสชันของผู้ใช้ทั้งหมด ดูเส้นเวลาที่เต็มรูปแบบของการตอบสนองของเราด้านล่าง

ผู้ใช้ที่เข้าสู่ระบบทุกคน จะส่งโทเค็นเซสชั่นลับที่มีการร้องขอไปยังเว็บไซต์ของแต่ละไซต์ ถ้าคนที่ไม่หวังดีก็สามารถที่จะสกัดกั้นโทเค็นที่พวกเขาจะปลอมตัวเป็นผู้ใช้อื่น ๆ ได้ จึงรีเซ็ตสัญญาณสำหรับผู้ใช้ทั้งหมดเพื่อประโยชน์ในการทำให้ผู้ใช้เชื่อมต่อกับเซิร์ฟเวอร์ของเราได้ใช้รุ่นปรับปรุงและมั่นคงของซอฟแวร์ OpenSSL ที่จะถอดการโจมตีที่อาจเกิดขึ้นนี้ได้

เราขอแนะนำให้เปลี่ยนรหัสผ่านของคุณให้เป็นมาตรการป้องกันมาตรฐาน แต่ปัจจุบันเราไม่ได้ตั้งใจที่จะบังคับใช้เปลี่ยนรหัสผ่านสำหรับผู้ใช้ทั้งหมด แต่ก็มีอีกครั้งที่ได้รับหลักฐานที่แสดงว่าผู้ใช้วิกิมีเดียเป็นเป้าหมายจากการโจมตีนี้ แต่เราต้องการให้ผู้ใช้ทั้งหมดของเรามีบัญชีเป็นที่ปลอดภัยที่สุด

ขอบคุณสำหรับความเข้าใจและความอดทนของคุณ

Greg Grossmeier ในนามของการดำเนินงาน WMF และทีมงานแพลทฟอร์ม

เส้นเวลาการตอบสนองของวิกิมีเดีย

(เวลาที่อยู่ใน UTC)

7 เมษานยน

8 เมษายน

09:08: เราจะเริ่มแทนที่ด้วยใบรับรอง SSL.

13:09: เราบังคับให้ปรับรุ่น libssl ใน WMF Tool Labs.

16:45: ทั้งหมดของวิกิมีเดีย ผู้ใช้หันมาใช้ เซิร์ฟเวอร์ SSL มีใบรับรองใหม่ในที่นี้.

9 เมษายน

10 เมษายน

คำถามที่ถามบ่อย

(ข้อมูลส่วนนี้จะมีการขยายตัวได้ตามต้องการ)

  • ทำไมไม่ขึ้นว่า "ไม่สามารถใช้ได้ก่อน" วันที่ในใบรับรอง SSL ของคุณ จะเปลี่ยนแปลงได้หรือไม่ถ้าคุณได้เปลี่ยนไปแล้ว
    ผู้ให้บริการใบรับรอง SSL ของเราช่วยให้ต้นฉบับ "ไม่สามารถใช้ได้ก่อน" วันที่ (บางครั้งเรียกว่าไม่ถูกต้องเป็น "ออกเมื่อวันที่" ) ในใบรับรองแทนที่ใด ๆ นี้ไม่ได้เป็นเรื่องแปลกที่การปฏิบัติ นอกเหนือจากการมองไปที่การเปลี่ยนแปลงไฟล์ .pem เชื่อมโยงดังกล่าวในเส้นเวลา, วิธีอื่น ๆ ของการตรวจสอบว่าการเปลี่ยนที่เกิดขึ้นคือการเปรียบเทียบลายนิ้วมือของใบรับรองใหม่ของเรากับก่อนหน้านี้ของเรา