<delect id="lnxbx"><nobr id="lnxbx"></nobr></delect><dl id="lnxbx"><i id="lnxbx"><meter id="lnxbx"></meter></i></dl>
<video id="lnxbx"><i id="lnxbx"></i></video><dl id="lnxbx"></dl><video id="lnxbx"></video>
<video id="lnxbx"></video><noframes id="lnxbx"><dl id="lnxbx"></dl><video id="lnxbx"></video><video id="lnxbx"></video>
<noframes id="lnxbx"><video id="lnxbx"><dl id="lnxbx"></dl></video>
<dl id="lnxbx"><i id="lnxbx"></i></dl> <noframes id="lnxbx"><delect id="lnxbx"></delect>
<video id="lnxbx"></video><video id="lnxbx"></video>
-

聯系我們

  • 咨詢電話:
    021-64038000
  • QQ咨詢:
  • 我們的微博:
    吉杰電腦微博
  • 我們的微信:
    吉杰電腦微信
  • 分享到:

  • 吉杰電腦
  • 吉杰電腦
  • 吉杰電腦
  • 吉杰電腦
  • 吉杰電腦
  • 吉杰電腦
資訊
Google Gla...2014/5/29
OpenSSL漏洞引網絡安全危機

      日前,安全公司Codenomicon和谷歌的工程師發現了加密協議OpenSSL的重大安全漏洞,這個名為“Heartbleed(心臟出血)”的年度最嚴重漏洞一時間成了各大媒體的頭條。OpenSSL協議廣泛應用于網銀、在線支付、電子郵件、電商等重要網站,發現此漏洞的黑客只需坐在電腦前,即可實時獲取約30%以https開頭網址的用戶登錄賬號密碼。可以說,OpenSSL的“心臟出血”再一次把網絡安全問題推到了公眾面前。

                             

     443端口是OpenSSL的一個常用端口,用于加密網頁訪問。數據顯示,中國境內有1601250臺機器使用443端口,其中有33303臺受到了本次OpenSSL漏洞的影響。除了443,還有郵件、即時通訊等端口,受影響的范圍肯定更廣。據360調查,4月7日和8日兩天,共有2億網民訪問了含有OpenSSL漏洞的網站。可見,此次事件離我們并不遙遠。

      對于大多數普通用戶來說,OpenSSL并不是一個很清晰的概念,我們來簡單解釋一下。SSL是一種較為流行的安全加密技術,可以保護用戶在網絡上傳輸的隱私信息。當你在訪問一些安全級別較高的網站時,會看到瀏覽器地址欄有http://或https://,以https://訪問的網站就是用SSL加密的,一般是郵件、銀行等網站。在后臺,通過SSL加密的數據只有接收者才能解密。即使是黑客監聽了用戶的對話,也只能看到一串隨機字符串,無法獲悉具體內容。https可以使用TLS或SSL協議,而OpenSSL則是TLS、SSL協議的開源實現,提供開發庫和命令行程序。簡單來說,基本上所有的https都使用了OpenSSL。

      OpenSSL為什么會“心臟出血”呢?其實根本原因就是基礎的安全通信方式出了問題。OpenSSL的“心跳模塊”存在一個漏洞,可以讓攻擊者直接獲取服務器上64K內存中的數據內容。用戶訪問網站的Cookies、SSL私鑰、帳號密碼、隱私消息等數據都有可能泄露。其實,OpenSSL的“心臟出血”早在2012年就已被發現,只不過在今年4月7號才被正式收錄。

       上文提到,黑客可以利用該漏洞攻擊服務器的密鑰,繼而讀取到其收到的任何信息,甚至能夠利用密鑰假冒服務器,欺騙用戶泄露密碼等敏感信息。這里引用別人舉的一個例子,網絡服務器就像郵局,每個用戶就是寫信人和收信人,用戶需要拿袋子去郵局取信(收取信件相當于接收數據),這個漏洞就發生在將信件裝入袋子的過程中(假定裝信的“工作人員”認為把袋子裝滿是完成任務),正常情況下用戶需要裝多少信就會拿相匹配的袋子。但是,黑客們本身信件很少,卻拿了一個很大的袋子,此時“工作人員”只會埋頭繼續把袋子填滿。如此一來,黑客的袋子里就會有很多別人的東西(用戶名賬號、密碼。郵件),甚至是郵局的鑰匙(密鑰)。

      當然,郵局的鑰匙只有一把,想要拿到并不容易。同時,由于黑客每次只能獲取服務器上64KB的數據,而重要信息正好落在這個“片段”的幾率并不大,所以用戶的信息并不是肯定會被泄露。不過遺憾的是,考慮到每臺計算機每秒鐘可以執行1-2次攻擊,黑客還是可以大面積抓取信息。一名安全行業的人士透露,他在某電商網站上用“心臟出血”漏洞嘗試讀取數據,在讀取了200次后,獲得了40多個用戶名、7個密碼,用這些密碼,他成功登錄了該網站。

      至此,大家應該已經認識到了OpenSSL漏洞的危害,那么應該如何避免隱私數據被泄露呢?需要說明的是,“心臟出血”漏洞并不涉及普通用戶自用的計算機,也就是說用戶是無法自行修補該漏洞的,只要你登錄了受影響的網站,如果該網站不進行修復,那么你更改的新密碼依然會受到威脅。在確認網站安全之前,最好不要使用網銀、電子支付和電商購物等功能,以免這段數據正好被黑客捕獲。一旦網站公告已經修復了相關漏洞,用戶需要立即去修改密碼。此外,用戶也可以使用手機驗證或動態密碼,與手機綁定。

      OpenSSL的“Heartbleed”再次喚醒了人們對于網絡安全的思考,雖然阿里巴巴、騰訊等公司已經宣布將其修復,不過這些協議級、基礎設施級的漏洞還是會讓如今的互聯網發展多些警惕。


Copyright @ 1997 - 上海吉杰電腦有限公司 版權所有 官方網址 www.quanqiugongde.com    滬ICP備06003552號   聯絡我們 | 網站地圖
技術支持 吉杰電腦
av亚洲欧洲无码在线