Itt van a biztonsági frissítés, amely 40 millió embert fog megtartani a webről

Az URL-sávban látható zöld zár hiteles és privát kapcsolatot jelez. Ez a tanúsítvány biztosítja, hogy az Ön adatai a megbízható webhely határain belül maradjanak, és hogy a meglátogatott webhely valójában az a webhely, amelyre önmagát kívánja használni. Amikor bejelentkezik a Facebookra, vagyis azt ígérjük, hogy a) az Ön adatai - bejelentkezés, kommunikáció, fényképek, stb. - a webhely biztonságos határain belül maradnak, és b) a Facebook valójában Facebook, nem pedig a Facebook szélhámos.

Ha valaki egy SHA-1 titkosított webhelyet szaggatott, akkor rendkívül értékes információkkal rendelkeznek - így a kezdeti betörés költsége elhanyagolható. Az egyén, egy szervezet vagy egy nemzet jelenthet Facebook-ként, mondván, miközben elfoglalja a tetszőleges cseréket vagy személyes információt, amit úgy kívántak, hogy elkapják. Egy másik fenyegetés egy adathalász támadás, amelyben egy személy, szervezet vagy nemzet maszkol a webhelyként, hogy ellopja a felhasználók információit.

Tekintettel az SHA-1 bizonytalanságára, a legtöbb jelentős helyszín egyetért abban, hogy az átmenet késedelmes. Van azonban hátránya. A régi telefonokkal vagy asztali számítógépekkel rendelkező internet-felhasználók nem férhetnek hozzá az SHA-2 titkosított webhelyekhez. A régi telefonok vagy számítógépek virtuális mennyezettel rendelkeznek, ami megakadályozza a programok vagy alkalmazások frissítését. És a SHA-2-nek egyfajta „You Must Be This Tall to Ride” intézkedése lesz a böngészőkben. Lényegében, ha a telefonja vagy a számítógépe nem elég „magas” - olvassa el: elég új, eléggé frissítve - az „utazáshoz”, az SHA-2 titkosított webhelyek elfordítják Önt.

A CloudFlare, aki a problémát kutatta, és saját megoldást adott, a legkevésbé támogatott 25 országot sorolta fel, és megállapította, hogy ez a lista „átfed a világ legszegényebb, legszigorúbb és legháborúsabb országainak listáival”. a világot megtakarítják: Észak-Amerikában és Nyugat-Európában a böngészők több mint 99 százaléka kompatibilis az SHA-2-vel. Kínában azonban ez a szám körülbelül 93 százalékra csökken, Kamerunban, Jemenben, Szudánban, Egyiptomban, Líbiában, Elefántcsontparton, Nepálban, Ghánában és Nigériában körülbelül 95 százalék. A kizárási százalék alacsonynak tűnik, de a kontextusban figyelembe véve megdöbbentő számú internet-felhasználó.

A végeredmény az, hogy a felhasználók túlnyomó többsége, akik elfordulnak az SHA-2-ről, azok lesznek, akiknek leginkább szükségük van a webhelyek eléréséhez. (Gondolj a Facebookra és a Twitterre az arab tavaszra gyakorolt ​​hatására). Ezen túlmenően azok az országok, amelyek az infrastruktúrát elavult platformokon keresztül továbbíthatják, sebezhetővé teszik a támadásokat.

2015. december 31-én az internet egyik legnagyobb webhelye közel 40 millió felhasználó számára lesz korlátozva. A titkosítási technológia frissítésének ésszerű, de kemény újévi felbontása megakadályozza a fejlődő világ online lakosságának mintegy 5 százalékát a biztonságos, hitelesített webhelyekről, mint a Google, a Facebook és a Twitter.

Ha a telefonja több mint öt éves, kizárja magát is.

Mindez annak köszönhető, hogy az SHA-2 titkosítási technológiára költözött elődje, az SHA-1. Ez egy kicsit zavaró, de itt megy: Mielőtt SHA-1, a mobiltelefonok használják az MD5 titkosítási technológiát, amely 2008-ban bizonytalan volt. 2013-ig az MD5 teljesen megszűnt, és a SHA-1 lett a szabály.

Hamarosan a biztonsági szakértők repedték az SHA-1-et. A gyorsabb és gyorsabb számítógépeknél egyre olcsóbb és olcsóbb lesz a SHA-1 oldalak feltörése: A 2012-es tanulmány arra figyelmeztetett, hogy míg az adott évben körülbelül 2,77 millió dollárba kerülne, a 2015-ös szám 700 000 dollárra csökken. (2018-ban a becslés 173 000 dollárra csökkent, 2021-ben pedig csak 43 000 dollár volt.) Most, hogy 2015-ben van, Ars Technica jelentések - „a kutatók úgy vélik, hogy egy ilyen támadás idén 75 000 és 120 000 dollár között történhet.”

Ez két okból aggasztó vagy figyelemre méltó. Először is, a legmagasabb szintű biztonságot igénylő webhelyek azok a webhelyek, amelyek a legtöbb forgalmat kapják, a legnépszerűbb webhelyeket. Ismét ezek közé tartoznak a Google, a Facebook és a Twitter és a hozzájuk tartozó webhelyek. Másodszor, a felhasználók, akiknek a készülékei nem fognak eljutni a sávon, elsősorban a fejlődő országokban, gyakran a háború és az igazságtalanság által elpusztított nemzetekben találhatók.

A CloudFlare megoldása, amelyet a Facebook reprodukál, az, hogy lehetővé tegye a „SHA-1 visszavonást”. A felhasználók, akiket egyébként blokkoltak a CloudFlare vagy a Facebook oldalakból, hozzáférést kapnak az SHA-1 védelem alatt. Ez nem ideális megoldás - a biztonsági hibák továbbra is fennállnak - de legalábbis kevésbé lesz kizáró.

(Már itt átálltunk az SHA-2-re fordítottja. Ha ezt a cikket olvassa, akkor biztos lehet benne, hogy elérheti kedvenc webhelyeit 2016-ban.)