OpenSSL的Hearbleed重大漏洞:解释与预防

2014年04月13日 悉尼地产投资顾问Vicky



请点击图片上悉尼地产投资顾问Vicky关注我

------------------------------------


近几日关于OpenSSL存在的重大漏洞Hearbleed的报道是不绝与耳。对于从事网络安全的攻城狮们来讲,这可谓是行业里的大地震。可能对于一般人来讲并没有多大的感觉,但是它所造成的潜在影响可是实实在在的。下面我来为大家略微讲解下这个“风靡全球”的漏洞是怎么回事,以及个人如何防范。(详细介绍请登录http://heartbleed.com/ )



OpenSSL是什么?

要说OpenSSL,还得先说SSLSSL是一种网络安全协议,用于数据加密,使得用户通过互联网与服务器之间的数据传输不被监听截取。简单地甄别方式就是https://开头的网站就是采用SSL协议的(等等,我怎么记得好像大多数银行,网购网站,社交网站,email等等都用的这个?!没错,基本上所有主流网站都用SSL加密)。


OpenSSL是一个基于SSLTSL的开源的库(搞编程的更容易理解,非专业人员可暂时理解为软件之类的),用它可实现一些密码算法和证书封装等功能。总的来讲,它是一个开源的、跨平台、多用途的安全工具。


Heartbleed 漏洞是什么?

在网上看到一则漫画,很有意思,生动的讲解了Heartbleed漏洞(来自xkcd这个技术网站)


如果你还没明白的话,我来再多嘴两句。在上网的时候用户电脑和服务器之间有个链接的存活检验机制,称之为heartbeat(心跳检测),通俗讲就是看看服务器是不是正常在干活。用户向服务器发送Hello询问时会附加一个要求是回复的“字符长度”,这个漏洞就在于,如果指定的“字符长度”大于了实际发送字符的长度,服务器就还是会回馈给你相同规模的数据。这个多余出来的数据从哪里来呢,就是服务器的内存了,有很大几率包含着用户名和密码。这就使得黑客可以越界访问HTTPS服务器内存里的信息。


个人如何防范?

1. 避免个人对这个漏洞理解的误区

这个漏洞本身并不是SSL设计的漏洞,是一个OpenSSL执行时漏洞,网站们只需打上“补丁”即可修复。所以并不是一个天大的麻烦,现在基本各大社交网站等已全部更新。再者也并不是你输入了密码就一定会被截取。正确态度就是,关注并采取适当措施。


2. 登录网站时做好检查

以下提供两个在线漏洞检测网站,登录前先检测


http://filippo.io/Heartbleed/

http://wangzhan.360.cn/heartbleed


3. 对于已经修复过的网站,如果已经注册,可以修改下密码


==========

现在互联网这么发达,网络安全便显得越来越重要,大家可以适当的关注下,毕竟和个人的隐私以及财产安全有着千丝万缕的联系

==========



收藏 已赞