墙外楼: “Heartbleed”漏洞恐令数十万服务器泄密

墙外楼 网络热门话题追踪

Want a Faster Site? A Designer's Guide to Web Performance is a 50-page free guide covering the best practices, how-to steps & tools designers need to make lightning fast sites & apps! From our sponsors

"Heartbleed"漏洞恐令数十万服务器泄密 Apr 9th 2014, 03:14, by 墙外仙 据专家透露，运行特定版本OpenSSL的web服务器均存在一个名为"Heartbleed"的漏洞，黑客利用此漏洞可盗走网站用于加密在线交易和web连接的密钥，并导致用户在进行搜索或邮箱登录时个人信息被泄露。 SSL（安全套接层）协议是使用最为普遍网站加密技术，而OpenSSL则是开源的SSL套件，为全球成千上万的web服务器所使用。Web服务器正是通过它来将密钥发送给访客然后在双方的连接之间对信息进行加密。URL中使用https打头的连接都采用了SSL加密技术。在线购物、网银等活动均采用SSL技术来防止窃密及避免中间人攻击。 Heartbleed漏洞之所以得名，是因为用于安全传输层协议（TLS）及数据包传输层安全协议（DTLS）的Heartbeat扩展存在漏洞。Heartbeat扩展为TLS/DTLS提供了一种新的简便的连接保持方式，但由于OpenSSL 1.0.2-beta与OpenSSL 1.0.1在处理TLS heartbeat扩展时的边界错误，攻击者可以利用漏洞披露连接的客户端或服务器的存储器内容，导致攻击者不仅可以读取其中机密的加密数据，还能盗走用于加密的密钥。 据估计受影响的服务器数量可能多达几十万。其中已被确认受影响的网站包括Imgur、OKCupid、Eventbrite以及FBI网站等，不过Google未受影响。 此外，漏洞还可能导致用户信息的泄露。比方说黑客已经可以利用此漏洞通过查看最近访问受影响服务器的用户的cookie来获取其个人信息。已有开发者报告说发现可利用此漏洞查看到以保护用户隐私出名的搜素引擎DuckDuckGo上的用户搜索记录，Yahoo也被发现存在此漏洞导致用户凭证的泄露。 该漏洞2011年就已经被引入，但直到最近才被人发现。受影响服务器必须给自己的OpenSSL打上补丁，同时还需要更改密钥才能避免进一步受到影响。专家建议，为了免受此漏洞影响，用户最安全的应对措施是最近几天都不要参与敏感的网上活动，如购物、使用网银等。 镜像链接：谷歌镜像 | 亚马逊镜像 相关日志 2014/03/25 -- 携程"信用卡门"：系统性风险还是偶然操作失误？ ( 镜像链接： 亚马逊镜像 | 谷歌镜像 ) 2014/02/28 -- 《南华早报》雅虎用户裸聊视频也遭英美政府监控 ( 镜像链接： 亚马逊镜像 | 谷歌镜像 ) 2014/02/17 -- 知乎: 乌云于 2014 年 02 月 17 日爆出支付宝登陆漏洞，该漏洞会对用户余额宝产生怎么样的影响或者是危害？ ( 镜像链接： 亚马逊镜像 | 谷歌镜像 ) 2014/01/16 -- NSA的秘密武器：通过无线电获取信息 ( 镜像链接： 亚马逊镜像 | 谷歌镜像 ) 2013/12/23 -- "棱镜门"砸掉波音40亿美元军工大单 ( 镜像链接： 亚马逊镜像 | 谷歌镜像 ) 2013/12/21 -- 路透社称NSA向RSA支付$1000万在其加密算法中放置后门 ( 镜像链接： 亚马逊镜像 | 谷歌镜像 ) 2013/12/13 -- Google发现法国政府伪造CA证书 ( 镜像链接： 亚马逊镜像 | 谷歌镜像 ) 2013/12/03 -- 路由=入口？先手种下一道"生死符" ( 镜像链接： 亚马逊镜像 | 谷歌镜像 ) 2013/11/27 -- 美国国安局通过网络光缆截取信息 ( 镜像链接： 亚马逊镜像 | 谷歌镜像 ) 2013/11/04 -- 科技公司强化信息加密对抗政府监控 ( 镜像链接： 亚马逊镜像 | 谷歌镜像 )

You are receiving this email because you subscribed to this feed at blogtrottr.com. If you no longer wish to receive these emails, you can unsubscribe from this feed, or manage all your subscriptions