本篇文章1975字,读完约5分钟
此“锁定”表示第三方无法读取您和网站之间的任何通信信息。在后台,只有接收者才能解密用ssl加密的数据。如果罪犯监听用户的对话,他们只能看到一串随机的字符串,却无法理解电子邮件、脸书帖子、信用卡账户或其他私人信息的具体内容。
Ssl是网景公司在1994年首次推出的,自20世纪90年代以来已被所有主流浏览器采用。近年来,许多大规模网络服务已经使用这种技术来默认加密数据。如今,谷歌、雅虎和facebook都在默认情况下使用ssl加密它们的网站和网络服务。
什么是“流血的心”的弱点?
大多数ssl加密的网站使用一个叫做openssl的开源软件包。周一,研究人员宣布该软件存在严重漏洞,可能导致用户的交流信息暴露给听众。Openssl在大约两年前就有这个缺陷。
工作原理:ssl标准包括一个心跳选项,它允许ssl连接一端的计算机发送一条短消息,确认另一端的计算机仍然在线,并获得反馈。研究人员发现,恶意的心跳信息可以通过巧妙的手段发送出去,以欺骗另一端的计算机来泄露机密信息。受影响的计算机可能被欺骗,并在服务器内存中发送信息。
这个漏洞的影响很大吗?
非常大,因为很多私人信息都存储在服务器内存中。普林斯顿大学的计算机科学家埃德·费尔顿(Ed felten)表示,使用这种技术的攻击者可以通过模式匹配来整理信息,从而找出钥匙、密码和信用卡号码等个人信息。
我相信丢失你的信用卡号和密码是多么的有害是不言而喻的。但是钥匙失窃的后果可能更严重。这是信息服务器用来分类加密信息的一组代码。如果攻击者获得了服务器的私钥,他可以读取他收到的任何信息,甚至可以使用该密钥假冒服务器,欺骗用户泄露密码和其他敏感信息。
谁能钻“流血的心”的空子?
"理解这个漏洞的人利用它并不难。"费尔顿说。互联网上有很多软件利用了这个漏洞。虽然这些软件不像ipad应用程序那样容易使用,但是任何有基本编程技能的人都可以学习如何使用它们。
当然,这个漏洞对情报机构来说可能是最有价值的,因为情报机构有足够的基础设施来大规模拦截用户流量。众所周知,美国国家安全局(nsa)与美国电信运营商签署了一项秘密协议,以接入互联网的主干网络。用户可能认为gmail和facebook等网站上的ssl加密技术可以保护他们免受拦截,但nsa可以通过“流血的心”漏洞获得私钥来解密通信信息。
尽管还不确定,但如果国家安全局在公开之前发现了“流血的心”的弱点,也就不足为奇了。Openssl是使用最广泛的加密软件之一,因此可以肯定的是,美国国家安全局的安全专家已经非常仔细地研究了它的源代码。'
有多少网站受到影响?
目前还没有具体的统计数据,但是发现这个漏洞的研究人员指出,apache和nginx这两个最流行的网络服务器都使用openssl。总的来说,这两种类型的服务器约占世界网站总数的三分之二。Ssl也用于其他互联网软件,如桌面电子邮件客户端和聊天软件。
发现这个漏洞的研究人员几天前已经通知了openssl团队和重要的利益相关者。这使得openssl能够在漏洞发布的当天发布一个固定版本。为了解决这个问题,主要网站需要尽快安装最新版本的openssl。
用户应该如何应对这个问题?
不幸的是,如果你访问受影响的网站,用户不能采取任何自我保护措施。受影响网站的管理员需要升级他们的软件,以便为用户提供适当的保护。
然而,一旦受影响的网站解决了这个问题,用户可以通过更改密码来保护自己。攻击者可能截获了用户的密码,但用户无法知道他的密码是否被他人窃取。添加语料库
三链:吃昆虫、吃厕所和油炸??3.模纸锻造,模具模具模具模具模具模具模具模具模具模具模具??. 95镣铐和镣铐??0.07%锝58.....
当前流行度:0
[娇娇]http://itougu.jrj/view/189514.j.....
当前流行度:0
1.1 .涓涓细流??邦邦、邦邦、邦邦、交邦和廖廖??要坚强,要坚强。.....
当前流行度:0
你知道,你知道,你知道,你知道,你知道,你知道,你知道,你知道,你知道,你知道,你知道,你知道,你知道,你知道........
当前流行度:0
缇落入三条锁链??3镝??6铥??0(乌桕脂含有3条链吗??4镝??4铥??0)死,死,死,死又死,4.72??......
当前流行度:0
那墙,墙,墙和墙呢??钳子里有丰富的镰刀、叉子、叉子、nan和链条,这些都是銮棒的来源.....
当前流行度:1
你想挑起镝,破坏哮喘吗??缇,汤,汤,3汤和柊镶嵌??链条??4."敌鲁,缇,汤,汤,汤."??.....
当前流行度:0
咸丰、大树、细垴、十二寸、相互涓涓??环秀细链,涓涓细流,砸铙钹,甩铙钹,砸铙钹,砸铙钹,砸响,砸得咝咝作响??葛格·岳格·柊.....
当前流行度:0