绿茶边肖带来了openssl安全漏洞的介绍。想知道openssl心脏出血漏洞的防治方法是什么？近日，openssl心脏出血漏洞被曝光，影响广泛。您可以通过以下内容了解更多详细信息。

-什么是SSL？

SSL是一种流行的加密技术，可以保护用户通过互联网传输的隐私信息。当用户访问Gmail.com等安全网站时，他们会在网址旁边看到一个“锁”，表明您在网站上的通信信息已加密。

此“锁定”表示第三方无法读取您与网站之间的任何通信信息。在后台，只有接收方可以解密通过SSL加密的数据。如果犯罪分子监听用户的对话，他们只能看到一串随机的字符串，却无法了解电子邮件、脸书帖子、信用卡账户或其他私人信息的具体内容。

SSL最早是网景在1994年推出的，从上世纪90年代开始就被所有主流浏览器采用。近年来，许多大规模网络服务都使用这种技术来默认加密数据。如今，谷歌、雅虎和脸书都在默认情况下使用SSL加密其网站和网络服务。

——什么是“心脏出血”漏洞？

大多数SSL加密的网站使用一个名为OpenSSL的开源软件包。周一，研究人员宣布，该软件存在严重漏洞，可能会导致用户的沟通信息暴露给听众。OpenSSL在大约两年前就有这个缺陷。

工作原理：SSL标准包含心跳选项，允许SSL连接一端的电脑发送短消息，确认另一端的电脑仍然在线，并获得反馈。研究人员发现，恶意心跳信息可以通过巧妙的手段发送出去，欺骗另一端的计算机泄露机密信息。受影响的计算机可能被欺骗，并在服务器内存中发送信息。

-此漏洞的影响大吗？

很大，因为很多隐私信息都存储在服务器内存中。普林斯顿大学计算机科学家Ed Felten表示，使用该技术的攻击者可以通过模式匹配对信息进行排序，从而找出密钥、密码、信用卡号等个人信息。

我相信丢失信用卡号和密码的危害是不言而喻的。但盗窃钥匙的后果可能更严重。这是信息服务器用来整理加密信息的一组代码。如果攻击者获得了服务器的私钥，他就可以读取收到的任何信息，甚至可以用密钥冒充服务器，欺骗用户泄露密码等敏感信息。

-谁发现了这个问题？

该漏洞是由Codenomicon和谷歌安全研究人员独立发现的。为了将影响降到最低，研究人员已经与OpenSSL团队和其他关键内部人员合作，并在发布问题之前准备了修复计划。

——谁能利用“流血的心”这个漏洞？

“理解这个漏洞的人利用它并不难。”费尔顿说。互联网上有许多利用此漏洞的软件。虽然这些软件不像iPad应用程序那样容易使用，但任何有基本编程技能的人都可以学习如何使用它们。

当然，这个漏洞可能对情报机构最有价值，因为情报机构有足够的基础设施来大规模拦截用户流量。众所周知，美国国家安全局(NSA)与美国电信运营商签署了一项秘密协议，以接入互联网的主干网络。用户可能认为Gmail、脸书等网站上的SSL加密技术可以保护自己不被拦截，但NSA可以通过“流血的心”漏洞获取私钥对通信信息进行解密。

虽然目前还不确定，但如果美国国家安全局在公开之前发现了“流血的心”的弱点，也就不足为奇了。OpenSSL是使用最广泛的加密软件之一，因此可以肯定的是，NSA安全专家已经非常仔细地研究了它的源代码。

-有多少网站受到影响？

目前还没有具体的统计数据，但发现该漏洞的研究人员指出，目前最流行的两种网络服务器Apache和nginx都使用OpenSSL。总体而言，这两种类型的服务器约占全球网站总数的三分之二。SSL还用于其他互联网软件，如桌面电子邮件客户端和聊天软件。

发现这个漏洞的研究人员已经在几天前通知了OpenSSL团队和重要的利益相关者。这使得OpenSSL能够在漏洞发布当天发布一个固定版本。要解决这个问题，各大网站需要尽快安装最新版本的OpenSSL。

雅虎发言人表示：“我们的团队已经在雅虎的主要资产(包括雅虎主页、雅虎搜索、雅虎电子邮件、雅虎金融、雅虎体育、雅虎食品、雅虎科技、Flickr和Tumblr)中成功部署了适当的修复措施。我们目前正在努力为我们控制下的其他网站部署修复措施。”

谷歌表示：“我们已经评估了SSL漏洞，并修补了谷歌的关键服务。”脸书表示，当漏洞被公开后，它已经解决了这个问题。

微软发言人也表示：“我们正在关注关于OpenSSL的报道。如果确实影响到我们的设备和服务，我们将采取必要措施保护用户。”

-用户应该如何应对这个问题？

不幸的是，如果你访问受影响的网站，用户不能采取任何自我保护措施。受影响网站的管理员需要升级他们的软件，以便为用户提供适当的保护。

但是，一旦受影响的网站修复了这个问题，用户就可以通过更改密码来保护自己。攻击者可能截获了用户的密码，但用户无法知道自己的密码是否被他人窃取。

为了帮助用户规避相应的风险，360网站卫士推出了OpenSSL漏洞在线检查工具(http://wanzhan . 360.cn/heart bleed)，通过输入网站地址即可检测网站是否存在此漏洞。

以上都是关于openssl安全漏洞的介绍~

绿茶边肖猜你还喜欢：

微信密码破解漏洞暴露：微信会将密码暴露给攻击者

搜狗浏览器安全漏洞暴露：QQ授权登录会同步其他用户账号密码