登陆与注册×
两周内自动登陆 忘记密码?


注册

qcjpns.com Heartbleed漏洞是一个新发现的安全漏洞,它将用户的密码置于许多受欢迎的网站上,但是自从本周早些时候披露以来,它已经颠覆了网络。这是一个非常严重的问题,因此,当您使用互联网时,对该错误及其影响存在很多混淆。 CNET编制了一份常见问题列表,以帮助用户了解有关错误的更多信息并保护自己。 Heartbleed的情况正在持续,我们将在出现新问题时更新此常见问题解答。查看新信息。什么是Heartbleed? Heartbleed是OpenSSL软件中的一个安全漏洞,它允许黑客访问数据服务器的内存。根据互联网研究公司Netcraft的数据,可能会有50万个网站受到影响。这意味着用户敏感的个人数据(包括用户名,密码和信用卡信息)可能会被截获。该漏洞还意味着攻击者可以窃取服务器的数字密钥,用于加密通信并访问公司的秘密内部文档。什么是OpenSSL?让我们从SSL开始吧。这代表安全套接字层,但它的新名称,传输层安全性或TLS也是如此。它是在Web上加密信息的最基本方法,它可以减少在您浏览Internet时有人窃听您的可能性。 (请注意像Gmail这样的启用SSL的网站的网址中的“https”,而不仅仅是“http”。)OpenSSL是用于跨Web实施SSL的开源软件。漏洞版本为1.0.1到1.0.1f。 OpenSSL也被用作Linux操作系统的一部分,并作为Apache和Nginx的一个组件,用于运行网站的两个非常广泛使用的程序。底线:它在整个网络上的使用是巨大的。谁发现了这个bug?安全公司Codenomicon和Google研究员Neel Mehta都给予了信任,他们都在同一天独立地发现了这个bug。 Mehta捐赠了15,000美元的奖金,用于帮助发现新闻自由基金会的活动,该活动旨在为记者在与消息来源沟通时使用的加密工具的开发。 Mehta正在拒绝接受媒体采访,但要求发表评论,谷歌表示,“我们用户信息的安全性是首要任务。我们主动寻找漏洞并鼓励其他人准确报告,以便我们能够在他们之前m.gdban.com修复它们。利用“。为什么叫做Heartbleed?根据Vocativ的说法,“Heartbleed”一词是由Codenomicon的系统管理员Ossi Herrala创造的。它的技术名称为CVE-2014-0160,它以包含该bug的代码行命名。 Heartbleed是指在OpenSSL上称为“心跳”的扩展词。该协议用于保持连接打开,即使这些连接之间没有共享数据也是如此。 Herrala“认为称之为Heartbleed是合适的,因为它正在从记忆中抹去重要信息,”Codenomicon首席执行官大卫·沙利尔告诉Vocativ。如果这个名字对于安全故障听起来有点过于吸引人,那就是重点。 Codenomicon的团队想要一些可以快速传播的新闻友好,以警告更多人的缺陷。在他们命名这个漏洞之后不久,他们就购买了Heartbleed.com域名来教育网络关于这个故障。为什么有些网站不受Heartbleed的影响?虽然OpenSSL非常受欢迎,但还有其他SSL / TLS选项。此外,一些网站使用较早的未受影响的版本,有些网站未启用此漏洞的核心“心跳”功能。虽然它没有解决问题,但是减轻潜在损害的范围的是实现完美的前向保密,或PFS,这种做法确保加密密钥的保质期非常短,并且不会永久使用。这意味着如果攻击者确实从服务器的内存中获取了加密密钥,则攻击者将无法解码来自该服务器的所有安全流量,因为密钥的使用非常有限。虽然谷歌和Facebook等一些科技巨头已开始支持PFS,但并非每家公司都支持PFS。这个bug是如何工作的?该漏洞允许黑客访问高达64千字节的服务器内存,但反复执行攻击以获取大量信息。这意味着攻击者不仅可以获得用户名和密码,还可以获得Web服务器和浏览器用于跟踪个人和轻松登录的“cookie”数据。根据电子前沿基金会的说法,反复进行攻击可能会产生更严重的信息,比如网站的私有SSL密钥,用于加密流量。有了这个密钥,有人可以运行虚假版本的网站,并使用它来窃取所有其他类型的信息,如信用卡号码或私人phosram.cn