国产一级a片免费看高清,亚洲熟女中文字幕在线视频,黄三级高清在线播放,免费黄色视频在线看

一句話科普:OpenSSL就是互聯(lián)網(wǎng)上銷量最大的門鎖。

　　不過最新曝出的這個(gè)漏洞，則讓它成為無需鑰匙即可開啟的廢鎖，雖然這把廢鎖被打開的概率不高，但保險(xiǎn)（放心保）起見，請(qǐng)修改密碼。

　　2014年4月8日，必將永載于互聯(lián)網(wǎng)史冊(cè)。這一天，互聯(lián)網(wǎng)世界發(fā)生兩件大事：一、微軟正式宣布XP停止服務(wù)退役；二、OpenSSL的超級(jí)大漏洞曝光。

　　很多普通人更關(guān)心第一件事，因?yàn)榕c自己切身相關(guān)。但事實(shí)上，第二件事，才是真正的大事件。

　　這個(gè)漏洞影響了多少網(wǎng)站，數(shù)字仍在評(píng)估當(dāng)中，但放眼放去，我們經(jīng)常訪問的支付寶、淘寶、微信公眾號(hào)、YY語音、陌陌、雅虎郵件、網(wǎng)銀等各種網(wǎng)站，基本上都出了問題。

　　這一漏洞一旦被惡意利用，意味著用戶登錄這些電商、網(wǎng)銀的賬戶、密碼等關(guān)鍵信息都有可能泄露，造成財(cái)產(chǎn)損失。

　　而在國(guó)外，受到波及的網(wǎng)站也數(shù)不勝數(shù)，就連大名鼎鼎的NASA（美國(guó)航空航天局）也已宣布，用戶數(shù)據(jù)庫遭泄露。

　　這個(gè)漏洞被曝光的黑客命名為“heartbleed”，意思是“心臟出血”—代表著最致命的內(nèi)傷,這是一個(gè)極為貼切的表述。

　　這一夜，互聯(lián)網(wǎng)門戶大開

　　網(wǎng)絡(luò)基礎(chǔ)安全協(xié)議曝出大漏洞

　　4月8日，網(wǎng)絡(luò)安全協(xié)議OpenSLL被曝出存在安全漏洞，該協(xié)議常用于電商、網(wǎng)銀等安全性極高的網(wǎng)站。

　　該漏洞是由安全公司Codenomicon和谷歌安全工程師發(fā)現(xiàn)的。為了將影響降到最低，該研究人員已經(jīng)與OpenSSL團(tuán)隊(duì)和其他關(guān)鍵的內(nèi)部人士展開了合作，在公布該問題前就已經(jīng)準(zhǔn)備好修復(fù)方案。

　　程序員Sean Cassidy在自己的博客上詳細(xì)描述了這個(gè)漏洞的機(jī)制。他披露，OpenSSL的源代碼中存在一個(gè)漏洞，可以讓攻擊者獲得服務(wù)器上64K內(nèi)存中的數(shù)據(jù)內(nèi)容。這部分?jǐn)?shù)據(jù)中，可能存有安全證書、用戶名與密碼、聊天工具的消息、電子郵件以及重要的商業(yè)文檔等數(shù)據(jù)。

　　OpenSSL是目前互聯(lián)網(wǎng)上應(yīng)用最廣泛的安全傳輸方法?？梢哉f，它是互聯(lián)網(wǎng)上銷量最大的門鎖。而Sean曝出的這個(gè)漏洞，則讓特定版本的OpenSSL成為無需鑰匙即可開啟的廢鎖；入侵者每次可以翻檢戶主的64K信息，只要有足夠的耐心和時(shí)間，他可以翻檢足夠多的數(shù)據(jù)，拼湊出戶主的銀行密碼、私信等敏感數(shù)據(jù)；假如戶主是個(gè)開商店的或開銀行的，那么在他這里買東西、存錢的用戶，其個(gè)人最敏感的數(shù)據(jù)也可能被入侵者獲取。發(fā)現(xiàn)者們給這個(gè)漏洞起了個(gè)形象的名字：heartbleed，“心臟出血”。這一夜，互聯(lián)網(wǎng)的安全核心，開始滴血。

　　什么是SSL？

　　SSL是一種流行的加密技術(shù)，可以保護(hù)用戶通過互聯(lián)網(wǎng)傳輸?shù)碾[私信息。當(dāng)用戶訪問Gmail.com等安全網(wǎng)站時(shí)，就會(huì)在URL地址旁看到一個(gè)“鎖”，表明你在該網(wǎng)站上的通訊信息都被加密。

　　這個(gè)“鎖”表明，第三方無法讀取你與該網(wǎng)站之間的任何通訊信息。在后臺(tái)，通過SSL加密的數(shù)據(jù)只有接收者才能解密。如果不法分子監(jiān)聽用戶的對(duì)話，也只能看到一串隨機(jī)字符串，而無法了解電子郵件、Facebook帖子、信用卡賬號(hào)或其他隱私信息的具體內(nèi)容。

　　SSL最早在1994年由網(wǎng)景推出，已經(jīng)被所有主流瀏覽器采納。最近幾年，很多大型網(wǎng)絡(luò)服務(wù)都已經(jīng)默認(rèn)利用這項(xiàng)技術(shù)加密數(shù)據(jù)。如今，谷歌、雅虎和Facebook都在使用SSL對(duì)其網(wǎng)站和網(wǎng)絡(luò)服務(wù)進(jìn)行加密。

　　什么是“心臟出血”漏洞

　　多數(shù)SSL加密的網(wǎng)站都使用名為OpenSSL的開源軟件包。

　　4月8日，研究人員宣布這款軟件存在嚴(yán)重漏洞，可能導(dǎo)致用戶的通訊信息暴露給監(jiān)聽者。

　　據(jù)悉，OpenSSL大約兩年前就已經(jīng)存在這一缺陷。

　　“心臟出血”漏洞的工作原理：SSL標(biāo)準(zhǔn)包含一個(gè)心跳選項(xiàng)，允許SSL連接一端的電腦發(fā)出一條簡(jiǎn)短的信息，確認(rèn)另一端的電腦仍然在線，并獲取反饋。研究人員發(fā)現(xiàn)，可以通過巧妙的手段發(fā)出惡意心跳信息，欺騙另一端的電腦泄露機(jī)密信息。受影響的電腦可能會(huì)因此而被騙，并發(fā)送服務(wù)器內(nèi)存中的信息。

　　誰能利用漏洞？

　　“對(duì)于了解這項(xiàng)漏洞的人，要對(duì)其加以利用并不困難?！逼樟炙诡D大學(xué)計(jì)算機(jī)科學(xué)家菲爾騰說。利用這項(xiàng)漏洞的軟件在網(wǎng)上有很多，任何擁有基本編程技能的人都能學(xué)會(huì)它的使用方法。

　　這項(xiàng)漏洞對(duì)情報(bào)機(jī)構(gòu)的價(jià)值或許最大，他們擁有足夠的基礎(chǔ)設(shè)施來對(duì)用戶流量展開大規(guī)模攔截。我們知道，美國(guó)國(guó)家安全局(以下簡(jiǎn)稱“NSA”)已經(jīng)可以進(jìn)入到互聯(lián)網(wǎng)的骨干網(wǎng)中。用戶或許認(rèn)為，Gmail和Facebook等網(wǎng)站上的SSL加密技術(shù)可以保護(hù)他們不受監(jiān)聽，但NSA 卻可以借助“心臟出血”漏洞獲取解密通訊信息的私鑰。

　　雖然現(xiàn)在還不能確定，但如果NSA在“心臟出血”漏洞公之于眾前就已經(jīng)發(fā)現(xiàn)這一漏洞，也并不出人意料。

　　有多少網(wǎng)站受到影響？

　　目前還沒有具體的統(tǒng)計(jì)數(shù)據(jù)，但發(fā)現(xiàn)該漏洞的研究人員指出，當(dāng)今最熱門的兩大網(wǎng)絡(luò)服務(wù)器Apache和nginx都使用OpenSSL?？傮w來看，這兩種服務(wù)器約占全球網(wǎng)站總數(shù)的三分之二。

　　雅虎：“我們的團(tuán)隊(duì)已經(jīng)在雅虎的主要資產(chǎn)中(包括雅虎主頁、雅虎搜索、雅虎電郵、雅虎財(cái)經(jīng)、雅虎體育、雅虎美食、雅虎科技、Flickr和Tumblr)成功部署適當(dāng)?shù)男迯?fù)措施?！?/p>

　　谷歌：“我們已經(jīng)評(píng)估了SSL漏洞，并且給谷歌的關(guān)鍵服務(wù)打上了補(bǔ)丁?！盕acebook稱，在該漏洞公開時(shí)，該公司已經(jīng)解決了這一問題。

　　微軟發(fā)言人也表示：“我們正在關(guān)注OpenSSL問題的報(bào)道。如果確實(shí)對(duì)我們的設(shè)備和服務(wù)有影響，我們會(huì)采取必要措施保護(hù)用戶。”

　　這一漏洞，堪稱“地震級(jí)別”

　　影響嚴(yán)重:還不知哪些服務(wù)器被入侵

　　“對(duì)于一個(gè)安全協(xié)議來說，這樣的安全漏洞是非常嚴(yán)重的。”北京知道創(chuàng)宇信息技術(shù)有限公司研究部總監(jiān)鐘晨鳴說。

　　該漏洞只能從內(nèi)存中讀取64K的數(shù)據(jù)，而重要信息正好落在這個(gè)可讀取的64K上的幾率并不大，但是攻擊者可以不斷批量地去獲取這最新的64K數(shù)據(jù)，這樣就很大程度上可以得到盡可能多的用戶隱私信息。

　　據(jù)南京翰海源信息技術(shù)有限公司創(chuàng)始人方興介紹，通過這個(gè)漏洞，可以泄露以下四方面內(nèi)容：一是私鑰，所有https站點(diǎn)的加密內(nèi)容全能破解；二是網(wǎng)站用戶密碼，用戶資產(chǎn)如網(wǎng)銀等隱私數(shù)據(jù)被盜?。蝗欠?wù)器配置和源碼，服務(wù)器可以被攻破；四是服務(wù)器掛掉不能提供服務(wù)。

　　一位安全行業(yè)人士透露，他在某著名電商網(wǎng)站上用這個(gè)漏洞嘗試讀取數(shù)據(jù)，在讀取200次后，獲得了40多個(gè)用戶名、7個(gè)密碼，用這些密碼，他成功登錄該網(wǎng)站。

　　更大威脅: 部分涉及機(jī)構(gòu)竟盲目樂觀

　　這一漏洞被曝出后，全球的黑客與安全保衛(wèi)者們展開了競(jìng)賽。黑客在不停地試探各類服務(wù)器，試圖從漏洞中抓取到盡量多的用戶數(shù)據(jù)；安全保衛(wèi)者則在盡可能短的時(shí)間里升級(jí)系統(tǒng)、彌補(bǔ)漏洞，實(shí)在來不及實(shí)施的則暫時(shí)關(guān)閉某些服務(wù)。

　　根據(jù)知道創(chuàng)宇公司持續(xù)在線監(jiān)測(cè)情況來看，并非所有受到該漏洞威脅的公司都認(rèn)識(shí)到了這一危害性，部分涉及機(jī)構(gòu)盲目樂觀。有的只是暫停SSL服務(wù)，仍繼續(xù)提高其主要功能，比如微信；有的為規(guī)避風(fēng)險(xiǎn)，干脆暫停網(wǎng)站全部服務(wù)；還有的沒有采取任何措施。

　　鐘晨鳴說，這個(gè)漏洞實(shí)際上出現(xiàn)于2012年，至今兩年多，誰也不知道是否已經(jīng)有黑客利用漏洞獲取了用戶資料；而且由于該漏洞即使被入侵也不會(huì)在服務(wù)器日志中留下痕跡，所以目前還沒有辦法確認(rèn)哪些服務(wù)器被入侵，也就沒法定位損失、確認(rèn)泄漏信息，從而通知用戶進(jìn)行補(bǔ)救。

　　存在短板:我國(guó)網(wǎng)絡(luò)安全應(yīng)急能力差

　　作為國(guó)內(nèi)頂尖的安全專家，方興指出，此次發(fā)現(xiàn)的漏洞事實(shí)上是非常簡(jiǎn)單的一個(gè)漏洞，并不是因?yàn)樗惴ū还テ?，而是由于程序員在設(shè)計(jì)時(shí)沒有做長(zhǎng)度檢查而產(chǎn)生的內(nèi)在泄露漏洞?！皫缀跛谐绦騿T都很容易犯的錯(cuò)誤，即使微軟的高手，開源的精英也容易犯?！背绦騿T的一時(shí)疏忽引發(fā)了蝴蝶效應(yīng)，帶來了全球網(wǎng)絡(luò)安全危機(jī)。

　　“SSL是廣泛使用的數(shù)據(jù)傳輸加密協(xié)議，這個(gè)漏洞是大地震級(jí)別的?！敝袊?guó)計(jì)算機(jī)學(xué)會(huì)信息安全專業(yè)委員會(huì)主任嚴(yán)明說。

　　分析人士指出，具體受害的用戶數(shù)字要到后面才能得以統(tǒng)計(jì)，當(dāng)前應(yīng)動(dòng)員所有應(yīng)急機(jī)制做出緊急反應(yīng)，并通報(bào)如何盡量減少威脅。建議大型站點(diǎn)需要換證，重新配置一些重要程序和配置里的密碼串。國(guó)家應(yīng)急中心直到9日才開始聯(lián)動(dòng)。

　　該中心一名專家坦陳，從2003年，國(guó)家應(yīng)急中心就試圖建立漏洞觸發(fā)的相關(guān)應(yīng)急工作和能力，但是這一領(lǐng)域的工作到現(xiàn)在也不夠清晰，需要新的能力架構(gòu)設(shè)計(jì)。

　　我們?cè)撛鯓幼员?/strong>

　　怎么辦?

　　少用網(wǎng)銀 謹(jǐn)防失財(cái)

　　對(duì)一般網(wǎng)民來說，如果訪問了受影響的網(wǎng)站，用戶無法采取任何自保措施。受影響的網(wǎng)站的管理員需要升級(jí)軟件，才能為用戶提供適當(dāng)?shù)谋Ｗo(hù)。

　　不過，一旦受影響的網(wǎng)站修復(fù)了這一問題，用戶便可以通過修改密碼來保護(hù)自己。攻擊者或許已經(jīng)攔截了用戶的密碼，但用戶無法知道自己的密碼是否已被他人竊取。

　　所以，對(duì)于個(gè)人用戶而言，目前最迫切的就是：改密碼。此外，在未確認(rèn)安全的情況下，盡量少用網(wǎng)銀，密切觀注你的財(cái)務(wù)狀況。