Heartbleed SSL-sårbarheten gör rubriker runt om i världen - och felaktiga rapporter i pressen och online orsakar förvirring. Hur kan du vara säker och följ dina personliga uppgifter inte läckta?
Vad är heartbleed? Tja, det är inte ett virus
Du har nog hört Heartbleed beskrivet som ett virus. Det här är inte fallet: det är faktiskt en svaghet, en sårbarhet i servrar som kör OpenSSL. Detta är open source-implementeringen av SSL och TLS, protokollen som används för säkra anslutningar - de som börjar https: // snarare än de vanliga http: // .
Denna sårbarhet - mer benämnd som en bugg - skapar i huvudsak ett hål genom vilket hackare kan kringgå krypteringen. Bekräftat den 7 april 2014, sker det i alla versioner av OpenSSL förutom 1.0.1g. Hotet är begränsat till webbplatser som kör OpenSSL - andra SSL- och TLS-bibliotek finns tillgängliga, men OpenSSL används ofta på servrar runtom i världen. En åtgärd för problemet finns, men det här kanske inte har tillämpats på de webbplatser du regelbundet besöker för säkra aktiviteter. Det kan hända att du handlar online, spel och andra webbplatser för vuxen tema eller till och med socialt nätverkande.
Som ett resultat kan all personlig och ekonomisk information vara i fara.
För att få en uppfattning om hur stor en deal Heartbleed är (och varför den är så kallad) har Ryan nyligen lagt den här Internet-spännande buggen i kontexten Massive Bug i OpenSSL lägger mycket av Internet i Risk Massive Bug i OpenSSL lägger mycket av Internet I risk Om du är en av de personer som alltid har trott att kryptering med öppen källkod är det säkraste sättet att kommunicera på nätet, är du in för lite överraskning. Läs mer . Vi bör understryka att Heartbleed är en internetbaserad sårbarhet och påverkar därför användare av alla operativsystem, skrivbord och mobil.
Så det är en stor sak - men vad kan du göra åt det?
Ignorera Hype & Do not Panic
Tja, det är en sak du borde inte göra: panik. Många har skrivits över internet och i de tryckta medierna de senaste dagarna och mycket är det hype, doom porno som skulle ge effekterna av Orson Welles berömda World of Radio broadcast till skam.
Mycket av det du redan har sett har varit kullerstensat ihop från pressmeddelanden och andra rapporter från journalister som inte känner till terminologin och bristen på tydlig förståelse om riskerna.
Till exempel kanske du vet att du borde ändra dina lösenord omedelbart (inte helt sant, vi borde lägga till - se nedan). Men visste du om phishing-risken?
Phishing Risken
Ansvariga webbtjänster, banker och sociala nätverk som har påverkats av Heartbleed kommer att släppa dig ett mail för att meddela att de har reparerat sårbarheten och rekommenderar att du ändrar ditt lösenord.
Naturligtvis borde du göra det - men var medveten om att den här situationen är en idealisk möjlighet för phishers att börja skicka falska e-postmeddelanden, komplett med inbäddade länkar till sidan "Byt lösenord". I själva verket är en webbplats avsedd att skörda dina uppgifter.
Ingen av de tjänster du använder bör rekommendera dig att klicka på länk för byt lösenord i ett e-postmeddelande som skickas oönskad e-post. Tyvärr gjorde IFTTT, liksom Pinterest (ovan). Det här är dålig praxis och ger intrycket att en sådan länk är acceptabel och bör klickas.
Om du inte har begärt e-postmeddelandet bör en sådan länk inte klickas.
E-postmeddelanden som inte innehåller heartbleed lösenord ska inte innehålla inloggnings länkar. Om de gör det, radera dem, besök sedan webbplatsen genom att skriva adressen till din webbläsare (eller välja den från historia eller favoriter beroende på hur du rullar med dem). Därifrån, återställ ditt lösenord ...
... men bara om du faktiskt behöver i detta skede.
Tyvärr är det PR-drivna behovet för företag att se ut som om de gör något om hot som Heartbleed kan visa sig vara lika skadligt som själva hotet.
Så ska du ändra dina lösenord?
En av de viktigaste bitarna av Heartbleed råd i cirkulation är att du borde ändra dina lösenord omedelbart.
Allihopa.
Detta är tyvärr ett exempel på den felaktiga information som jag nämnde i intro. Säg att du använder samma lösenord för flera webbplatser. Först och främst är detta dåligt och du bör ompröva att göra det i framtiden (för att inte tala om skapa säkrare lösenord. Säkra lösenord: Skapa ett annat lösenord för varje webbplats Säkra lösenord: Skapa ett annat lösenord för varje webbplats Läs mer).
För det andra, om du på ett oskäligt sätt ändrar alla dina lösenord, är chansen att du ska göra det på en webbplats som inte körs på en patched server - en som Heartbleed fortfarande är en sårbarhet på.
Oavsiktligt har du eventuellt delat ditt gamla lösenord och ditt nya lösenord med dem som kan utnyttja sårbarheten för deras identitetsbedrägerier och skräppost.
Som sådan bör du bara ändra ditt lösenord på en webbplats-by-site när du vet att de har blivit patched - det vill säga fixet har tillämpats och sårbarheten stängdes.
Kontrollera vilka webbplatser som har blivit patchade
Kom igång genom att kolla vilka webbplatser som är fria från Heartbleed sårbarhet.
Det finns två sätt att göra detta. Gå först till Mashable där du hittar en uppdaterad lista med stora namn webbplatser som påverkas av Heartbleed, tillsammans med råd om huruvida du ska ändra ditt lösenord eller inte.
För de mindre webbplatser kommer detta utmärkta sökverktyg direkt att berätta om webbplatsen har blivit patched.
Ett alternativ är utökningen Chromebleed Checker för Google Chrome.
Om de webbplatser du använder har påverkats och ännu inte har korrigerat Heartbleed-sårbarheten, undviker du att logga in tills situationen är löst.
Slutsats: Det är ett väntarspel
Hantering av Heartbleed stormen borde inte vara ett problem för de flesta. Håll dig till kursen som vi har rekommenderat ovan, och byt inte några lösenord tills du får instrueras att göra det av motsvarande webbplatser och tjänster.
Du kan också använda nya verktyg för att kontrollera om webbplatsen du planerar att besöka (eller till och med den du kör) har påverkats och huruvida en åtgärd har tillämpats.
Viktigast, var säker och var tålamod. Potentialen för Heartbleed att orsaka enorma problem finns fortfarande kvar - undvik alla webbplatser som kräver patch tills du vet att de är säkra.
Bildkrediter: Bullet Heart via Shutterstock, HTTPS via Shutterstock, Koppla inte panik via Shutterstock, Lösenord via Shutterstock