OpenSSL心脏出血!最致命漏洞如何应对?

OpenSSL心脏出血!最致命漏洞如何应对?

    SSL(Secure SocketLayer,安全套接层)协议是使用最为普遍网站加密技术,用以保障在Internet上数据传输之安全,利用数据加密(Encryption)技术,可确保数据在网络上之传输过程中不会被截取及窃听。OpenSSL则是开源的SSL套件,作为一个多用途的、跨平台的通信加密工具,为全球成千上万的web服务器所使用。
    但现在,OpenSSL自己出现了一个非常高危胁的漏洞,直接导致了本该是让为了更安全的设置变成了致命的危险。利用这个漏洞,黑客可以轻松获得用户的cookie,甚至明文的帐号和密码。IT专家网在此为您总结OpenSSL的Heartbleed漏洞的详情和影响,以及免受损失的应对之道。 [详细]

漏洞分析

关于OpenSSL“心脏出血”漏洞的分析

当我分析GnuTLS的漏洞的时候,我曾经说过,那不会是我们看到的最后一个TLS栈上的严重bug。然而我没想到这次OpenSSL的bug会如此严重。OpenSSL“心脏出血”漏洞是一个非常严重的问题。这个漏洞使攻击者能够从内存中读取最多64 KB的数据。一些安全研究员表示:无需任何特权信息或身份验证,我们就可以从我们自己的(测试机上)偷来X.509证书的私钥、用户名与密码、聊天工具的消息、电子邮件以及重要的商业文档和通信等数据... [详细]

漏洞危害

门锁成废锁,“心脏出血”让互联网现伤口

形象地说,OpenSSL可以看作互联网上销量最大的“门锁”,此次爆出的漏洞,让特定版本的OpenSSL成为无需“钥匙”即可开启的“废锁”。360安全专家石晓虹表示,此次OpenSSL漏洞堪称“网络核弹”,很多隐私信息都存储在网站服务器的内存中,无论用户电脑多么安全,只要网站使用了存在漏洞的OpenSSL版本,用户登录该网站时就可能被黑客实时监控到登录账号和密码... [详细]

对策分析

如何避免心脏出血?整个互联网需加密

Heartbleed(心脏出血)漏洞打碎了人们对安全网络的信任,但要是没有为此漏洞所利用的那款加密软件,情况会更加糟糕。事实上,互联网是时候好好考虑一下一个新想法了:到处加密。很多安全专家——包括谷歌的搜索专家麦特·卡茨(Matt Cutts)——都认为是时候将这一种加密推向整个互联网。那意味着一切都会得到安全的连接,从你的银行网站到本地比萨饼店的在线菜单... [详细]

对策分析

用户、管理员和开发人员的Heartbleed攻略

Heartbleed是一场血腥的混乱。更糟的是,对于随后必须清理它的人来说,混乱的类型各不相同。管理员、最终用户和软件开发商都将面临着Heartbleed的各个方面,每个方面都只能各自处理。要减轻它给不同的角色带来的最重要的威胁,IT专家网为您介绍我们分别需要做的一些事情... [详细]

结  语

    尽管OpenSSL爆出的Heartbleed(心脏出血)漏洞威力巨大,但在业界的共同努力之下,不同的群体可以通过不同的方式减轻其损害。只是我们还需要提高安全意识,还需要不断地思考这两个问题:还有没有仍然未被发现的其他“灾难性”互联网漏洞?登陆密码作为默认的身份验证方法还要沿用多久?

编辑:周钜翔