Bezpečnost: Reakce na zranitelnost Heartbleed
Pro šifrovanou komunikaci používáme knihovnu OpenSSL. V té byla v pondělí 7. dubna večer objevena závažná bezpečnostní chyba (CVE-2014-0160, Heartbleed) postihující přibližně 70 % webových serverů na internetu. Chyba umožňovala útočníkovi číst obsah paměti, získat hesla, klíče a obsah šifrované komunikace.
Jak reagoval Fakturoid?
- V úterý 8. po poledni jsme zabezpečili všechny naše webové servery nasazením záplatované knihovny OpenSSL.
- Krátce po půlnoci jsme pro jistotu vygenerovali nové SSL certifikáty.
- Přidali jsme možnost požádat o přegenerování API klíče přímo z obrazovky Já.
Navíc jsme už dříve nasadili Perfect Forward Secrecy, která umožní zachovat komunikaci soukromou i při uniknutí šifrovacího klíče.
Co můžete udělat vy?
Byť je riziko zneužití spíše teoretické, doporučujeme pro jistotu změnu hesla ve Fakturoidu (záložka Já) a přegenerování API klíče.