下沙论坛
标题:
OpenSSL安全协议存在漏洞危及网络用户数据安全
[打印本页]
作者:
煎饼
时间:
2014-4-9 09:23
标题:
OpenSSL安全协议存在漏洞危及网络用户数据安全
, F! P* @+ N n4 x' W6 |
4月9日消息,据华尔街报道,许多网站使用的OpenSSL安全协议存在漏洞,可能导致大量隐藏数据被盗取。据谷歌和网络安全公司Codenomicon的研究人员透露,OpenSSL加密代码中一种名为Heartbleed的漏洞存在已有两年之久。三分之二的活跃网站均在使用这种存在缺陷的加密协议。他们指出可使用的补丁,网站可用以自我保护以及维护用户的安全。
/ b# u4 y! W% A! D9 o
+ e+ z# y& @. f. x& J) ]8 I* v% }
包括主页和邮箱在内的数个雅虎网站也存在这种安全漏洞。雅虎发言人今日表示,“我们的团队已经成功地完成雅虎各个网站的修复。”
+ z3 R( h$ e% u' v+ V! ]6 V6 ]" w- c
3 V+ {) @- R4 B# N: t" \
一些零售商表示,在雅虎修复漏洞之前,他们能够获得雅虎的用户名和密码。
6 B; j+ t8 p4 V! U# ~7 O# o9 _
' E# ] f1 [) h8 P/ x e- d: [ K6 z
网络安全公司Qualys的一名研究员伊万•瑞斯提克(Ivan Ristic)创建了一种测试网站是否存在Heartbleed漏洞的工具。工具发布当天,他的网页访问量增加了7倍。他估计,使用SSL的服务器中,有30%存在漏洞。
; F4 ]% r4 T( {" y) H
# W3 h% F4 }$ t# M- L7 z) Z( x- X
经瑞斯提克的工具测试显示,许多大型网站,如谷歌、亚马逊、eBay等网站较安全,未受到这种漏洞的影响。
. Z" S6 {; W6 K p/ J& D; f3 M3 x
& Q( u9 F+ M. Z
越来越多的网站使用加密代码来保护如用户名、密码和信用卡号等数据,这能够防止黑客通过网络盗取个人信息。
& r* z; A' ~" _* v t
- e# R2 E( F) R
这种加密协议被称为SSL(Secure Sockets Layer安全套接层)或TLS(Transport Layer Security Protocol安全传输层协议)。当一个网站使用这种安全协议,浏览器中的地址栏旁会出现挂锁图标。
5 A9 C1 q5 B( p' ]( z2 }/ }
" J% l, \$ }7 ^* |: `: ^/ }% ~
编写加密代码十分复杂,所以很多网站使用一种开源的免费安全协议,即OpenSSL。如亚马逊,该公司在其网站上建议,云计算服务Amazon Web Services的用户在为网页加密时使用OpenSSL。但有关OpenSSL漏洞的消息爆出后,亚马逊对记者的置评请求未立即回应。
2 @- `1 ^6 S7 ]( C* a( B/ y
_. f# T% R! Q2 E, [8 H
) L& q, D% C/ f
OpenSSL存在的缺陷在于,使用某些最新OpenSSL版本的Web服务器会存储一些不受内存保护的数据。黑客可以获取这些数据,重建有关用户或密钥的信息,进而监视过去或将来的加密数据。
" T$ @/ G) y4 y7 j: ^: [
& T4 r: s* d, o5 c6 I) A
一名研究员表示,“任何人都可以利用这种漏洞在互联网上获取数据,而且场地不限,我可以在自己的办公室,也可以在其他国家实现数据的盗用。”
7 g+ m0 Y4 [: x* a1 C0 E* L0 i
9 D8 G; z! n* ?2 Q5 C1 u3 H
OpenSSL漏洞的消息一出,许多网站措手不及,未能及时采取补救措施。
# S3 |3 r2 \3 W0 Y- ?# C. i
% t' V0 i1 N& o$ n9 {8 ?
旨在保护互联网用户身份的Tor Project公司总裁罗杰·丁格勒戴(Roger Dingledine)表示, “接下来几天各个网站开始着手修复漏洞,为了确保个人信息或隐私不被窃取,这段时间最好完全不用互联网。”(惜辰)
欢迎光临 下沙论坛 (http://bbs.xiasha.cn/)
Powered by Discuz! X3.3