日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

近日有研究人員公布，廣為流行的網(wǎng)絡(luò)加密軟件OpenSSL存在名為Heartbleed的重大漏洞，人們的賬號(hào)密碼、信用卡號(hào)碼等個(gè)人信息可能會(huì)失竊。各大主流網(wǎng)站都在加緊解決這一問(wèn)題。究竟是什么回事呢?普通網(wǎng)民是否會(huì)受到影響呢?國(guó)外媒體近日就這類(lèi)疑問(wèn)一一進(jìn)行了詳解。

創(chuàng)新互聯(lián)建站專(zhuān)注于新鄉(xiāng)縣網(wǎng)站建設(shè)服務(wù)及定制，我們擁有豐富的企業(yè)做網(wǎng)站經(jīng)驗(yàn)。 熱誠(chéng)為您提供新鄉(xiāng)縣營(yíng)銷(xiāo)型網(wǎng)站建設(shè)，新鄉(xiāng)縣網(wǎng)站制作、新鄉(xiāng)縣網(wǎng)頁(yè)設(shè)計(jì)、新鄉(xiāng)縣網(wǎng)站官網(wǎng)定制、成都小程序開(kāi)發(fā)服務(wù)，打造新鄉(xiāng)縣網(wǎng)絡(luò)公司原創(chuàng)品牌,更為您提供新鄉(xiāng)縣網(wǎng)站排名全網(wǎng)營(yíng)銷(xiāo)落地服務(wù)。

何為SSL?

SSL是一流行的加密技術(shù)，可保護(hù)網(wǎng)絡(luò)用戶(hù)在互聯(lián)網(wǎng)上傳輸?shù)碾[私信息。例如，訪問(wèn)諸如Gmail.com的安全網(wǎng)站時(shí)，你會(huì)看到URL左側(cè)有一綠色的“鎖頭”圖標(biāo)，它意指你與該網(wǎng)站的通訊受到加密保護(hù)。以下是它在谷歌Chrome瀏覽器上的模樣：

該鎖頭表明第三方會(huì)無(wú)法讀取你收發(fā)的任何信息。SSL具體是通過(guò)將你的數(shù)據(jù)轉(zhuǎn)變成只有接收方才能破譯的加密信息來(lái)實(shí)現(xiàn)這一點(diǎn)。如果有黑客監(jiān)聽(tīng)你的對(duì)話，他將只能夠看到隨即字符串，而無(wú)法看到你的電郵內(nèi)容、Facebook帖子、信用卡號(hào)碼等私密信息。

SSL是1994年最先由網(wǎng)景(Netscape)推出，自1990年代以來(lái)一直面向各款主流瀏覽器。近年來(lái)，主流的在線服務(wù)也都趨向使用該加密技術(shù)。目前，谷歌、雅虎和Facebook對(duì)于自家的網(wǎng)站和在線服務(wù)全都默認(rèn)使用SSL加密技術(shù)。

何為Heartbleed漏洞?

大多數(shù)的SSL加密網(wǎng)站都基于名為OpenSSL的開(kāi)源軟件包。周一，研究人員公布該軟件存在一個(gè)會(huì)致使用戶(hù)通訊內(nèi)容泄露的嚴(yán)重漏洞。OpenSSL存在這種漏洞已有約兩年時(shí)間。

具體來(lái)說(shuō)，SSL標(biāo)準(zhǔn)包含heartbeat選項(xiàng)，讓SSL連接一端的計(jì)算機(jī)發(fā)出短信息來(lái)確認(rèn)另一臺(tái)計(jì)算機(jī)仍處于聯(lián)網(wǎng)狀態(tài)并獲得回復(fù)。研究人員發(fā)現(xiàn)，存在發(fā)送偽裝的惡意heartbeat信息誘使SSL連接另一端的計(jì)算機(jī)泄露秘密信息的的可能性。也就是說(shuō)計(jì)算機(jī)會(huì)被誘使傳輸服務(wù)器內(nèi)存中的內(nèi)容。

漏洞影響很大嗎?

是的。服務(wù)器內(nèi)存中存儲(chǔ)著大量的私密信息。普林斯頓大學(xué)計(jì)算機(jī)科學(xué)家艾德·費(fèi)爾騰(Ed Felten)指出，使用這種技術(shù)的攻擊者會(huì)“通過(guò)模式匹配整理那些信息，試圖找到密鑰、密碼以及諸如信用卡號(hào)碼的個(gè)人信息”。

賬號(hào)密碼、信用卡號(hào)碼失竊的嚴(yán)重性無(wú)需贅述，而密鑰失竊甚至更加嚴(yán)重。密鑰是服務(wù)器用以譯出它所接受的加密信息的工具。如果攻擊者獲得服務(wù)器的私有密鑰，那他就能讀取任何發(fā)送到服務(wù)器的信息。他甚至能夠利用密鑰冒充服務(wù)器，誘使用戶(hù)泄露他們的賬號(hào)密碼和其它的敏感信息。

誰(shuí)發(fā)現(xiàn)了漏洞?

是Codenomicon和谷歌安全部門(mén)(Google Security)的研究人員獨(dú)立發(fā)現(xiàn)的。為了最大限度地降低公布漏洞會(huì)帶來(lái)的損害，研究人員在公布之前先與OpenSSL團(tuán)隊(duì)和其它的關(guān)鍵內(nèi)部人員合作準(zhǔn)備好修復(fù)方案。

哪些人能夠利用Heartbleed漏洞?

“利用該漏洞對(duì)于了解它的人來(lái)說(shuō)并不是很難?！辟M(fèi)爾騰透露。利用該漏洞的軟件遍布于網(wǎng)絡(luò)上，雖然該軟件沒(méi)iPad應(yīng)用那么好用，但任何有編程基礎(chǔ)的人都會(huì)知道怎么使用。

當(dāng)然，該漏洞也許對(duì)于擁有條件大規(guī)模攔截用戶(hù)流量的情報(bào)機(jī)構(gòu)而言最具價(jià)值。美國(guó)國(guó)家安全局(NSA)與美國(guó)電信服務(wù)提供商有秘密協(xié)定，它能夠接入互聯(lián)網(wǎng)干線。用戶(hù)可能會(huì)認(rèn)為Gmail、Facebook等網(wǎng)站上的SSL加密可以保護(hù)他們免受監(jiān)聽(tīng)。但Heartbleed漏洞可讓NSA獲得破譯私密通訊所需的私有密鑰。

要是NSA已經(jīng)在公眾知曉之前發(fā)現(xiàn)Heartbleed漏洞的存在，也不會(huì)令人驚訝。鑒于OpenSSL是世界上最流行的加密軟件，NSA的安全專(zhuān)家之前很有可能仔細(xì)研究過(guò)OpenSSL的源代碼。

有多少網(wǎng)站受到影響?

目前還沒(méi)有準(zhǔn)確的數(shù)據(jù)，不過(guò)發(fā)現(xiàn)漏洞的研究人員指出，最流行的兩家網(wǎng)絡(luò)服務(wù)器Apache 和nginx均使用OpenSSL。二者加起來(lái)，共計(jì)覆蓋約三分之二的網(wǎng)站。SSL還被其它的網(wǎng)絡(luò)軟件所使用，如桌面郵箱客戶(hù)端和聊天軟件。

研究人員是在幾天前告知OpenSSL團(tuán)隊(duì)和其他的關(guān)鍵利益相關(guān)者漏洞情況的。因此，OpenSSL能夠在將漏洞公諸于眾的同時(shí)發(fā)布OpenSSL軟件的修復(fù)版本。要消除漏洞，網(wǎng)站只需要確保它們使用的是OpenSSL最新版本。

雅虎發(fā)言人表示，“我們的團(tuán)隊(duì)已經(jīng)在雅虎的各個(gè)主要網(wǎng)站(雅虎主頁(yè)、雅虎搜索、雅虎郵箱、雅虎財(cái)經(jīng)、雅虎體育、雅虎美食、雅虎科技、Flickr和Tumblr))上成功完成修復(fù)，我們正在針對(duì)公司旗下其它的網(wǎng)站實(shí)施修復(fù)?！?/p>

谷歌稱(chēng)，“我們對(duì)SSL漏洞進(jìn)行了評(píng)估，并已修復(fù)谷歌的各款主要服務(wù)。”Facebook也表示，它在漏洞公布時(shí)已經(jīng)解決好該問(wèn)題。

微軟發(fā)言人則寫(xiě)道，“我們?cè)诟M(jìn)OpenSSL庫(kù)問(wèn)題的報(bào)告。要是確定它有對(duì)我們的設(shè)備與服務(wù)造成影響，我們會(huì)采取必要的措施來(lái)保護(hù)我們的用戶(hù)。”

用戶(hù)能怎么解決問(wèn)題?

很遺憾，用戶(hù)要是訪問(wèn)到采用含漏洞OpenSSL軟件的網(wǎng)站，他們并不能保護(hù)自己。有問(wèn)題的網(wǎng)站升級(jí)OpenSSL軟件之后，用戶(hù)才能夠得到保護(hù)。

不過(guò)，受影響的網(wǎng)站修復(fù)好OpenSSL軟件問(wèn)題后，用戶(hù)就可以通過(guò)更改自己的密碼來(lái)保護(hù)自己。攻擊者之前可能已經(jīng)截取了用戶(hù)的密碼，費(fèi)爾騰稱(chēng)用戶(hù)可能無(wú)法判斷他們的密碼是否失竊。

本文題目：詳解OpenSSL重大漏洞：誰(shuí)會(huì)受影響?如何解決?
URL分享：http://m.5511xx.com/article/dhceddg.html