安全

  |  手机版

收藏网站

投稿QQ:1745232315

IT专家网,汇聚专业声音 解析IT潮流 IT专家网,汇聚专业声音 解析IT潮流

网络

专家视点在现场环球瞭望
IT专家网 > 安全

用户、管理员和开发人员的Heartbleed攻略

作者:雷霆出处:IT专家网2014-04-15 09:03

  【IT专家网】尽管OpenSSL日前爆出的Heartbleed(心脏出血)漏洞威力巨大,但用户、管理员和开发人员可以通过不同的方式减轻其损害。

  让我们面对现实:Heartbleed是一场血腥的混乱。更糟的是,对于随后必须清理它的人来说,混乱的类型各不相同。管理员、最终用户和软件开发商都将面临着Heartbleed的各个方面,每个方面都只能各自处理。要减轻它给不同的角色带来的最重要的威胁,IT专家网为您介绍我们分别需要做的一些事情。


 

  用户

  在某些方面,用户是最困难的,因为他们唯一可以采取的措施是完全被动的。他们无法修补他们使用的实际站点(除非是他们建立的网站),但用户仍然可以自己做很多事情。

  1,检查您访问的网站的漏洞。当Heartbleed的消息首次爆出,确认某个给定的站点是否中招的办法是比对一些人工维护的灾区列表,或者使用一个第三方网站测试该漏洞。幸运的是,你不必手工做了,因为Firefox和Chrome浏览器现在都已经有附加组件可以手动检查所访问的网站。

  2,修改密码,但只能在网站漏洞已经修补的情况下。这是一个棘手的问题。就整体而言,任何安全漏洞之后修改密码是一个好主意,但需要漏洞本身先行关闭。否则,就像换门锁但不关门一样好笑。因此,重置受影响的网站的密码,只能在你确定Heartbleed问题不再存在之后。

  如果你还没有使用密码管理器,这是一个很好的借口设置一个。如果您使用的网站支持某种形式的双因素身份认证,但您还没有使用,这也是一个很好的借口使用它。

  在LastPass密码管理服务的用户获得两个-可能是三个-相比一个有价格优势。该服务不仅管理密码,并跨设备同步它们,但你需要知道,不管服务是否受Heartbleed漏洞影响,以及更新密码是否是一个好主意(该网站是否已修补漏洞)。

  3,在您的浏览器开启证书撤销检查。证书撤销确定您的浏览器中使用的SSL/TLS证书是否已被撤销。许多网站正在这样做,以避免过分依赖可能已经失陷于Heartbleed的密钥的过程。在谷歌Chrome浏览器中的设置:高级设置,在“检查服务器证书吊销”。使用Firefox,这是默认启用的,所以你不需要做任何事情。CloudFlare博客有关于每个浏览器证书撤销处理行为的进一步说明。

  管理员

  1,修补受影响的系统。在你生气之前,关键是要找出哪些系统会受到影响。影响可能比你想象的更广泛,因为OpenSSL可能不仅仅是外部的、面向客户的应用程序使用。这些显然是最重要的,但不要以为受影响系统就到此为止。例如,一些思科或者Juniper公司的网络产品也可能存在漏洞。

  另外,更棘手的,例如:在微软Windows Server系统上实现的TLS似乎并没有受到Heartbleed的影响,但是,这并不意味着在Windows机器上所有软件的运行都不受影响。一些软件可能以自己的方式实现OpenSSL,需要单独从别处更新。

  2,重新颁发和吊销证书。不要退缩。补发和撤销证书密钥是繁琐的工作,但这是需要做的事情,甚至(尤其)是大公司,如Akamai已经开始了这项艰难的工作,因为被破坏的证书必须在24小时内撤销。确保新证书的正确性和遵循正确的指导方针;不要像贝宝发行的一些新证书有一些错误的名称(“贝宝公司\0A”)。

  开发商

  1,审核你的代码中对OpenSSL的使用。对你所有的项目做一个审核,以确定你是否在使用或在何处使用OpenSSL,然后打上补丁或适当更新。项目越大,越有可能包含一些OpenSSL的依赖。

  2,获取变化。请确定您已经更新的任何产品可以最快地进入用户手中。例如,Android 4.1.1受影响(但早期版本的Android没事),虽然谷歌正在分发补丁到它的硬件合作伙伴,但谁也不知道这些补丁送到受影响的设备会花费多长的时间。不要袖手旁观,如果你能帮助它。

  3,如果可行,考虑替换OpenSSL。OpenSSL不是在业内唯一的选择;还有其他库的存在。这并不是说它们可以直接替代或者它们自己的表现没有问题,但现在可能是时候考虑它们在哪里可以利用了。

相关文章

关键词:Heartbleed,OpenSSL,漏洞,焦点图

责任编辑:周钜翔

网警备案