TA的每日心情 | 擦汗
5 小时前 |
|---|
签到天数: 2392 天 [LV.Master]伴坛终老
|
; `0 R3 h- b/ d1 ]4 g8 I* ^$ P {
4月9日消息,据华尔街报道,许多网站使用的OpenSSL安全协议存在漏洞,可能导致大量隐藏数据被盗取。据谷歌和网络安全公司Codenomicon的研究人员透露,OpenSSL加密代码中一种名为Heartbleed的漏洞存在已有两年之久。三分之二的活跃网站均在使用这种存在缺陷的加密协议。他们指出可使用的补丁,网站可用以自我保护以及维护用户的安全。
. f+ p/ o- g7 T$ M: {2 D7 r4 r, j% q9 {/ S' t
包括主页和邮箱在内的数个雅虎网站也存在这种安全漏洞。雅虎发言人今日表示,“我们的团队已经成功地完成雅虎各个网站的修复。”6 h _4 r/ u9 g8 m3 h. f1 ~* C
! v7 x* v/ ` r. A& ~0 e9 o
一些零售商表示,在雅虎修复漏洞之前,他们能够获得雅虎的用户名和密码。
1 p) p4 A( d; p2 e& Y$ i
1 i- G2 j+ M2 ]' z' E网络安全公司Qualys的一名研究员伊万•瑞斯提克(Ivan Ristic)创建了一种测试网站是否存在Heartbleed漏洞的工具。工具发布当天,他的网页访问量增加了7倍。他估计,使用SSL的服务器中,有30%存在漏洞。
7 a" y) r( A- j! P& L6 o* Q% n9 m+ X8 k5 _% T! n% ^" r' ?
经瑞斯提克的工具测试显示,许多大型网站,如谷歌、亚马逊、eBay等网站较安全,未受到这种漏洞的影响。
- t# ], u3 {- Y* I; W) n2 _+ {6 r0 \+ x
越来越多的网站使用加密代码来保护如用户名、密码和信用卡号等数据,这能够防止黑客通过网络盗取个人信息。
$ B( Z$ L, W9 u5 t3 ?! D4 k
) I# A; @3 [. s# |4 h, Z, w6 K这种加密协议被称为SSL(Secure Sockets Layer安全套接层)或TLS(Transport Layer Security Protocol安全传输层协议)。当一个网站使用这种安全协议,浏览器中的地址栏旁会出现挂锁图标。) j) P! l9 C/ c9 N: `; I. ]" ~ J" F
; v! H3 X7 |5 }" t2 Q0 D编写加密代码十分复杂,所以很多网站使用一种开源的免费安全协议,即OpenSSL。如亚马逊,该公司在其网站上建议,云计算服务Amazon Web Services的用户在为网页加密时使用OpenSSL。但有关OpenSSL漏洞的消息爆出后,亚马逊对记者的置评请求未立即回应。
" ]! ]* I* `/ H8 w9 n; m
9 s# x) }+ N. Z' M( C9 H2 ^7 A% t2 S$ G2 u) M
OpenSSL存在的缺陷在于,使用某些最新OpenSSL版本的Web服务器会存储一些不受内存保护的数据。黑客可以获取这些数据,重建有关用户或密钥的信息,进而监视过去或将来的加密数据。& C) a# p! I: t
# w6 h( {+ E8 W1 ~2 N# [
一名研究员表示,“任何人都可以利用这种漏洞在互联网上获取数据,而且场地不限,我可以在自己的办公室,也可以在其他国家实现数据的盗用。”
+ ]0 O1 L3 `! w9 T6 G# i
7 n7 H$ i. T4 i3 O$ R" x2 JOpenSSL漏洞的消息一出,许多网站措手不及,未能及时采取补救措施。
% ?$ P7 S8 n8 n+ d6 b) \, T- f {. Z% m3 I$ A& H* Q4 F$ _/ e: p
旨在保护互联网用户身份的Tor Project公司总裁罗杰·丁格勒戴(Roger Dingledine)表示, “接下来几天各个网站开始着手修复漏洞,为了确保个人信息或隐私不被窃取,这段时间最好完全不用互联网。”(惜辰) |
|
/1 
IP卡
狗仔卡
发表于 2014-4-9 09:23:02
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
收藏
分享
顶
踩
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡