正确的提示信息
扫码打开虎嗅APP
从思考到创造
打开APP
资讯
视频
车与出行
年轻一代
十亿消费者
前沿科技
财经
娱乐淘金
医疗健康
文化教育
出海
金融地产
企业服务
创业维艰
社交通讯
全球热点
生活腔调
榜单
虎嗅视界
24小时
活动
妙投APP
虎嗅智库
登录
极速注册
取消
搜索历史
删除
完成
全部删除
数码
互联网
数码
互联网
热搜词
新能源汽车
微信
出境游
旅游业
生活
俄罗斯
中亚
广告
吉利
账号或密码错误
2014-04-09 14:47
通俗版在此:关于“心脏出血”漏洞的解释性说明
虎嗅
针对眼下爆发的OpenSSL漏洞,虎嗅今天(4月9日)早上已发了一篇文章说明其来龙去脉及危害,这里有一篇来自
VOX网站的文章
,对SSL及该次漏洞进行了更详细的说明,摘编如下,由新浪科技翻译:
什么是SSL?
SSL是一种流行的加密技术,可以保护用户通过互联网传输的隐私信息。当用户访问Gmail.com等安全网站时,就会在URL地址旁看到一个“锁”,表明你在该网站上的通讯信息都被加密。
这个“锁”表明,第三方无法读取你与该网站之间的任何通讯信息。在后台,通过SSL加密的数据只有接收者才能解密。如果不法分子监听了用户的对话,也只能看到一串随机字符串,而无法了解电子邮件、Facebook帖子、信用卡账号或其他隐私信息的具体内容。
SSL最早在1994年由网景推出,1990年代以来已经被所有主流浏览器采纳。最近几年,很多大型网络服务都已经默认利用这项技术加密数据。如今,谷歌、雅虎和Facebook都在使用SSL默认对其网站和网络服务进行加密。
什么是“心脏出血”漏洞?
多数SSL加密的网站都使用名为OpenSSL的开源软件包。本周一,研究人员宣布这款软件存在严重漏洞,可能导致用户的通讯信息暴露给监听者。OpenSSL大约两年前就已经存在这一缺陷。
工作原理:SSL标准包含一个心跳选项,允许SSL连接一端的电脑发出一条简短的信息,确认另一端的电脑仍然在线,并获取反馈。研究人员发现,可以通过巧妙的手段发出恶意心跳信息,欺骗另一端的电脑泄露机密信息。受影响的电脑可能会因此而被骗,并发送服务器内存中的信息。
该漏洞的影响大不大?
很大,因为有很多隐私信息都存储在服务器内存中。普林斯顿大学计算机科学家艾德·菲尔腾(Ed Felten)表示,使用这项技术的攻击者可以通过模式匹配对信息进行分类整理,从而找出密钥、密码,以及信用卡号等个人信息。
丢失了信用卡号和密码的危害有多大,相信已经不言而喻。但密钥被盗的后果可能更加严重。这是是信息服务器用于整理加密信息的一组代码。如果攻击者获取了服务器的私钥,便可读取其收到的任何信息,甚至能够利用密钥假冒服务器,欺骗用户泄露密码和其他敏感信息。
谁能利用“心脏流血”漏洞?
“对于了解这项漏洞的人,要对其加以利用并不困难。”菲尔腾说。利用这项漏洞的软件在网上有很多,虽然这些软件并不像iPad应用那么容易使用,但任何拥有基本编程技能的人都能学会它的使用方法。
当然,这项漏洞对情报机构的价值或许最大,他们拥有足够的基础设施来对用户流量展开大规模拦截。我们知道,美国国家安全局(以下简称“NSA”)已经与美国电信运营商签订了秘密协议,可以进入到互联网的骨干网中。用户或许认为,Gmail和Facebook等网站上的SSL加密技术可以保护他们不受监听,但NSA 却可以借助“心脏流血”漏洞获取解密通讯信息的私钥。
虽然现在还不能确定,但如果NSA在“心脏流血”漏洞公之于众前就已经发现这一漏洞,也并不出人意料。OpenSSL是当今应用最广泛的加密软件之一,所以可以肯定的是,NSA的安全专家已经非常细致地研究过它的源代码。‘
有多少网站受到影响?
目前还没有具体的统计数据,但发现该漏洞的研究人员指出,当今最热门的两大网络服务器Apache和nginx都使用OpenSSL。总体来看,这两种服务器约占全球网站总数的三分之二。SSL还被用在其他互联网软件中,比如桌面电子邮件客户端和聊天软件。
发现该漏洞的研究人员几天前就已经通知OpenSSL团队和重要的利益相关者。这让OpenSSL得以在漏洞公布当天就发布了修复版本。为了解决该问题,各大网站需要尽快安装最新版OpenSSL。
用户应当如何应对该问题?
不幸的是,如果访问了受影响的网站,用户无法采取任何自保措施。受影响的网站的管理员需要升级软件,才能为用户提供适当的保护。
不过,一旦受影响的网站修复了这一问题,用户便可以通过修改密码来保护自己。攻击者或许已经拦截了用户的密码,但用户无法知道自己的密码是否已被他人窃取。
如对本稿件有异议或投诉,请联系tougao@huxiu.com
打开虎嗅APP,查看全文
支持一下
赞赏
0人已赞赏
分享至:
0
大 家 都 在 看
互联网安全不眠夜:“心脏出血”,波及网银电商
阳淼.
08:17
你的隐私,是怎么被手机扒光的
张博文
密码太可怕了,应该将它“枪毙”
翻来翻去
“xx神奇”的神奇:为什么移动互联网会在19岁少年面前,显得不堪一击呢?
智物观察
黑客不讲武德,苹果“耗子尾汁”
极客邦科技InfoQ
ChatGPT,犯罪分子用了都说好?
CSDN©
涉及5亿用户的安全漏洞,iOS 6以上设备全中招
量子位
只花16美元,黑客就能截获你的短信?
CSDN©
我的隐私只能卖一分钱?
果壳
苹果的数据保护服务,目标客户是斯诺登?
旗舰
谷歌想让你少看“验证码”,为什么有人公开反对?
少数派sspai
04:32
#5分钟科普
都2022年了,用公共WiFi上网还是不安全吗?
WhatOnEarth一探究竟
05:12
#内幕大揭秘
成人网站只浏览不安装软件,会中病毒吗?
歌者酷玩
05:18
#高新技术流
科技巨头力推的无密码登录,是什么新技术?
歌者酷玩
21:24
习惯通用一个账号密码?你的隐私信息可能已经暴露了
造就Talk
07:48
#科技树点歪了
互联网安全进化论:生物识别凭什么消灭密码?
虎学研究
08:40
#苹果又来了
“壁垒森严”的苹果能保护隐私安全吗?
馒头De爸爸
04:18
#5分钟科普
密码防泄漏指南:我们应该怎样设置密码?
歌者酷玩
10:17
#小行业大作为
为了消灭密码,人类都做了些什么?
量子位
05:38
#内幕大揭秘
蔚来遭遇数据勒索,但普通人无需恐惧
脑极体
大 家 都 在 搜
新能源汽车
微信
出境游
旅游业
生活
俄罗斯
中亚
广告
吉利
APP内打开
好的内容,值得赞赏
您的赞赏金额会直接进入作者的虎嗅账号
自定义
支付:
元
匿名赞赏
支付