นโยบายเหล็กมือของ Apple อนุญาตให้สร้างภูมิคุ้มกันให้ตัวเองอย่างสมบูรณ์จากอาการหัวใจวายได้อย่างไร

ข่าวDec 19, 2021

NS Heartbleed Bug อาจจะเป็น ภัยคุกคามที่ใหญ่ที่สุด สู่โลกอินเทอร์เน็ต อย่างไรก็ตาม, นโยบายของ Apple ช่วยให้มันหลีกเลี่ยงปัญหา ความเสี่ยง และการแตกสาขาที่เกิดขึ้นจากไซต์ยอดนิยมที่ถูกปล่อยให้เปราะบางเนื่องจาก Heartbleed ได้อย่างสมบูรณ์

สารบัญ

    • ที่เกี่ยวข้อง:
  • พื้นหลัง
    • สถาปัตยกรรม CDS ยังคงเชื่อกันว่าเป็นหนึ่งในแพลตฟอร์มที่ปลอดภัยที่สุดซึ่งมีความสามารถที่ทรงพลังมากในการทำงานในสภาพแวดล้อมแบบข้ามแพลตฟอร์ม
    • กระทู้ที่เกี่ยวข้อง:

ที่เกี่ยวข้อง:

  • คุณสามารถรับไวรัส iPhone, iPad หรือ iPod ได้หรือไม่?
  • ไวรัสและมัลแวร์อื่นๆ iPad (หรือ iPhone) ของฉันสามารถติดไวรัสได้หรือไม่
  • สถานะของความปลอดภัยของ Mac
  • เคล็ดลับเพื่อความปลอดภัยของ Mac และการหลีกเลี่ยงไวรัส

พื้นหลัง

Apple ได้ตัดสินใจย้อนกลับไปในช่วงปลายทศวรรษ 1990 ที่จะละทิ้ง OpenSSL

บริษัท Cupertino ประกาศว่าจะเลิกใช้สถาปัตยกรรม Common Data Security (CDS) ของ OS X ซึ่งรวมถึง OpenSSL

Apple ได้อธิบาย OpenSSL ว่าเป็น "ของที่ระลึกที่ล้าสมัย" เมื่อประมาณ 2.5 ทศวรรษที่แล้ว

แม้ว่าบั๊ก Heartbleed จะกลายเป็นจุดสนใจในตอนนี้ แต่มันก็โผล่ขึ้นมาเพียงสามปีหลังจากที่ Apple ละทิ้งมัน

Apple เลิกใช้ OpenSSL อย่างเป็นทางการในปี 2011 โดยที่ไม่รู้ข้อบกพร่องของ Heartbleed ด้วยซ้ำ เพราะยังไม่ปรากฏให้เห็นในตอนนั้น

Apple เลือกที่จะหลีกเลี่ยง OpenSSL เนื่องจากรู้สึกว่าแพลตฟอร์มมีข้อผิดพลาดอื่นๆ หลายประการ

ปัญหาที่เห็นได้ชัดที่สุดคือความไม่ลงรอยกันของ OpenSSL กับ 'libcrypto'

ชุดเครื่องมือความปลอดภัยของ Apple ที่เริ่มใช้งานภายใน Common Data Security Architecture ที่บริษัทเริ่มนำมาใช้ในปลายปี 1990

สถาปัตยกรรม CDS ยังคงเชื่อกันว่าเป็นหนึ่งในสถาปัตยกรรมที่ดีที่สุด แพลตฟอร์มที่ปลอดภัย ที่มีความสามารถที่ทรงพลังมากในการทำงานในสภาพแวดล้อมข้ามแพลตฟอร์ม

เปิดกลุ่ม,บริษัทที่ออกแบบ สถาปัตยกรรม CDS เป็นการแทนที่พื้นฐานของ OpenSSL กล่าวว่า “มันเป็นชุดของบริการรักษาความปลอดภัยแบบเลเยอร์และเฟรมเวิร์กการเข้ารหัสที่ จัดเตรียมโครงสร้างพื้นฐานสำหรับการสร้างแอปพลิเคชันที่เปิดใช้งานการรักษาความปลอดภัยข้ามแพลตฟอร์ม ทำงานร่วมกันได้สำหรับไคลเอนต์-เซิร์ฟเวอร์ สิ่งแวดล้อม”

หากนั่นไม่ได้แสดงถึงการมองการณ์ไกลของ Apple ให้พิจารณาข้อเท็จจริงที่ว่า Apple ได้เริ่มทำงานกับ API การเข้ารหัสใหม่มานานแล้ว

อินเทอร์เฟซ Application Programminguyu JBKMN ได้รับการออกแบบอย่างแท้จริงสำหรับอนาคต ฉลาดพอที่จะทำงานบนโปรเซสเซอร์หลายตัว (ซีพียูแบบมัลติคอร์) ย้อนกลับไปในปี 2549 โดยมีข้อกำหนดในการเข้ารหัสน้อยกว่ามาก

พูดง่ายๆ ก็คือ Apple มีทางเลือกที่ครอบคลุมและดีกว่า OpenSSL อยู่แล้ว ดังนั้นจึงประสบความสำเร็จในการปราบปรามจุดบกพร่อง Heartbleed

ที่น่าสนใจคือ Apple คือ ไม่มีภูมิคุ้มกัน ต่อช่องโหว่ด้านความปลอดภัย และหนึ่งในช่องโหว่ที่สำคัญที่สุดคือชื่อ 'GoToFail' ซึ่งคล้ายกับบั๊ก Heartbleed อย่างน่าทึ่ง

แต่บริษัทสามารถแก้ไขช่องโหว่ได้ภายในสามวัน เมื่อเทียบกับ Heartbleed การแตกสาขาที่ยังคงปรากฏให้เห็น