LibreSSL
از دیگر مواردی که در آلپاین پیاده سازی شده است استفاده از LibreSSLمیباشد و همچنین در نسخههای سیستم عامل OpenBSD کتابخانه معروف OpenSSL به LibreSSL تبدیل شده است. LibreSSL یک کتابخانه ایجاد شده توسط تیم OpenBSD میباشد. کتابخانه OpenSSL یک مرجع برای ارتباطات امن SSl/TLS می باشد که تنها با CryptoAPI مایکروسافت رقابت میکند. اما زمانیکه یک آسیب پذیری جدی در این کتابخانه با نام آسیب پذیری خونریزی قلبی کشف شد، باعث شد به طور جدی از اعتبار این کتابخانه کاسته شود.
برای اصلاح این مشکل در سیستم عامل OpenBSD و پوسته امن OpenSSH یک کتابخانه جایگزین برای OpenSSL با نام LibreSSL ایجاد شد. LibreSSL چندین هدف دارد ازجمله سازگاری API با OpenSSL و ساده سازی از طریق حذف ویژگی هایی که غیر ضروری است.
این مشکل بخشی از یک نرمافزار را با نام OpenSSL تحت تاثیر قرار میدهد که بهعنوان راهکاری برای مسائل امنیتی در وب سرورها مورداستفاده قرار میگیرد. با استفاده از OpenSSL وبسایتها میتوانند اطلاعات خود را بصورت رمزنگاری شده در اختیار کاربران قرار دهند، از اینرو سایر افراد توانایی دسترسی و استفاده از دادههای رد و بدل شده را که شامل نامهای کاربری، رمزهای عبور و کوکیها است، ندارند. OpenSSL یک پروژهی متن باز است، یعنی این پروژه توسط مجموعهای از افراد متخصص توسعه داده شده است که در قبال سرویس توسعهداده شده هزینه ای را دریافت نکردهاند. هدف این افراد کمک به توسعهی وب و یاری جامعهی اینترنت بوده است. نسخهی ۱٫۰٫۱ پروژهی OpenSSL در ۱۹ آپریل ۲۰۱۲ میلادی منتشر شده است. مشکل موجود ناشی از یک اشتباه برنامهنویسی در همین نسخه است که اجازهی کپی برداری از اطلاعات موجود در حافظهی وب سرور را به یک فرد یا نرمافزار مخرب بدون ثبت اثری از آن میدهد. این مشکل پس از اضافه شدن یک ویژگی جدید ایجادشده که توسط برنامهنویسی آلمانی با نام دکتر رابینسِگِلمَن روی OpenSSL اضافه شده است.
خونریزی قلبی یکی از ویژگیهای داخلی OpenSSL را با نام ضربان قلب مورداستفاده قرار میدهد. زمانی که رایانهی کاربر به یک وبسایت دسترسی پیدا میکند، وبسایت پاسخی را به مرورگر کاربر ارسال میکند تا رایانهی کاربر را از فعالیت خود و همچنین قابلیت پاسخگویی به درخواستهای بعدی آگاه سازد، این رد و بدل شدن اطلاعات را ضربان قلب گویند. ارسال درخواست و پاسخ به آن با رد و بدل شدن دادهها همراه است. در حالت نرمال، زمانی که رایانهی کاربر درخواستی را از سرور به عمل میآورد، ضربان قلب میزان دادهی مجاز درخواست شده از طرف کاربر را ارسال میکند، اما در مورد سرورهایی که این باگ را در ساختار خود دارند، یک هکر قادر است تا درخواستی را مبنی بر گرفتن دادهها از حافظهی سرور ارسال کرده و دادهای را با حداکثر اندازهی ۶۵,۵۳۶ بایت دریافت کند.
براساس اطلاعات ارائه شده توسط CloudFlare، اطلاعات درخواست شده شاید دربردارندهی اطلاعاتی از سایر بخشهای OpenSSL نیز باشد. اطلاعات موجود در حافظه کاملا از پلتفرم مستقل هستند. با اتصال رایانههای بیشتر به سرور اطلاعات موجود در حافظه از بین رفته و اطلاعات جدید جایگزین میشود، از اینرو صدور درخواستهای جدید توسط هکرها منجر به دریافت اطلاعات جدیدتری خواهد شد که شامل اطلاعات ورود، کوکیها و دادههایی میشود که هکرها میتوانند از آنها بهرهبرداری نمایند.
LibreSSL یک پروتکل منبع باز پروتکل TLS است. این پیاده سازی به نام Secure Sockets Layer (SSL) ، TLS نامگذاری شده است، که پشتیبانی از این نسخه در نسخه ۲٫۳٫۰ حذف شده است. پروژه OpenBSD LibreSSL را از OpenSSL 1.0.1g در آوریل ۲۰۱۴ بهعنوان پاسخی به آسیب پذیری امنیتی خونریزی قلبی، با هدف بهینه کردن بانک اطلاعاتی، بهبود امنیت و استفاده از بهترین روش های توسعه است.
برای نوشتن دیدگاه باید وارد بشوید.