国产超碰97人人做人人爱,91在线直播观看高清在线,日韩精品在线一区二区三区,AV无码片在线观看,在线观看高清无码亚洲人

高危漏洞“心臟流血”突襲互聯(lián)網(wǎng)

這兩天，蚌埠女孩王曉蕙（化名）告訴記者，她在糾結到底要不要更改網(wǎng)站賬戶(hù)密碼。因為4月8日早上，她上淘寶網(wǎng)買(mǎi)下了心儀很久的小家電，但當天就爆出消息稱(chēng)，一個(gè)名為OpenSSL的基礎網(wǎng)絡(luò )傳輸軟件存在重大漏洞，用戶(hù)登錄網(wǎng)銀、購物網(wǎng)站、電子郵件等，都可能會(huì )泄露賬戶(hù)密碼。

針對這個(gè)漏洞，不少計算機專(zhuān)家表示，用戶(hù)不用過(guò)于擔憂(yōu)，這個(gè)漏洞的修復并不復雜。另外，若網(wǎng)站公布修復公告后，用戶(hù)應及時(shí)修改密碼，而未發(fā)布公告的網(wǎng)站，用戶(hù)應減少登錄，且不要急著(zhù)修改密碼。

2億中國用戶(hù)受影響

4月8日，一個(gè)名為OpenSSL的軟件，被爆出存在重大漏洞，其被命名為“心臟流血”，比喻像心臟流血般重大而危急。據了解，“心臟流血”漏洞首先被谷歌研究員尼爾·梅塔發(fā)現。

黑客可以通過(guò)這個(gè)漏洞，獲取到以https開(kāi)頭網(wǎng)址的用戶(hù)登錄賬號和密碼、cookie等一概隱私信息。而據360網(wǎng)站安全檢測平臺，對國內120萬(wàn)家經(jīng)過(guò)授權的網(wǎng)站掃描發(fā)現，有3萬(wàn)多個(gè)網(wǎng)站主機受到了漏洞影響。在4月7日、4月8日期間，共計約有2億中國用戶(hù)訪(fǎng)問(wèn)了存在漏洞的網(wǎng)站。

更令人緊張的是，這些網(wǎng)站包含了人們最常用的購物、社交等知名網(wǎng)站和服務(wù)。并且，這與你的電腦是否足夠安全無(wú)關(guān)，只要你登錄的網(wǎng)站使用了存在漏洞的OpenSSL版本，用戶(hù)登錄網(wǎng)站時(shí)的一些信息，就可能被伺機而動(dòng)的黑客所獲取。

據稱(chēng)，這一漏洞被公開(kāi)后，一部分雅虎用戶(hù)數據，在一天之內遭到泄露。而360網(wǎng)站衛士的OpenSSL漏洞檢測平臺還發(fā)現，清華大學(xué)等幾所高校的某項網(wǎng)絡(luò )服務(wù)，也存在“心臟出血”漏洞。

經(jīng)360網(wǎng)絡(luò )攻防實(shí)驗室檢測發(fā)現，全球開(kāi)放443端口的主機共有40041126個(gè)，其中受OpenSSL“心臟出血”漏洞影響的主機有32335個(gè)。

隱私信息或被竊取

據了解，黑客獲取的是離內存最近的64K字節的內容，大概是六萬(wàn)個(gè)字，其中很可能包含用戶(hù)隱私信息，甚至網(wǎng)站密鑰。

并且黑客攻擊“心臟流血”并不需要很高門(mén)檻，因為入侵代碼已經(jīng)被公布。黑客只要有足夠的耐心和時(shí)間，就可以翻檢足夠多的數據，拼湊出戶(hù)主的銀行密碼、私信等敏感數據，“甚至連網(wǎng)站的源代碼都可能被竊取。”一位在杭州從事計算機行業(yè)多年的王姓程序員（以下簡(jiǎn)稱(chēng)王先生）表示。

網(wǎng)絡(luò )安全專(zhuān)家、南京翰海源信息技術(shù)有限公司創(chuàng )始人方興此前表示，通過(guò)這個(gè)漏洞，可以泄露以下四方面內容：一是私鑰，所有https站點(diǎn)的加密內容全能破解；二是網(wǎng)站用戶(hù)密碼，用戶(hù)資產(chǎn)如網(wǎng)銀隱私數據被盜��；三是服務(wù)器配置和源碼，服務(wù)器可以被攻破；四是服務(wù)器“掛掉”不能提供服務(wù)。

可能有些人會(huì )慶幸，還好那幾天我都用手機APP登錄。但360副總裁譚曉生，在接受采訪(fǎng)時(shí)曾表示：“手機APP用到OpenSSL軟件的占到50%，我們掃描到一萬(wàn)多個(gè)問(wèn)題網(wǎng)站。”

修改密碼要視情況而定

使用網(wǎng)上銀行或有U盾的用戶(hù)，其賬戶(hù)的安全會(huì )不會(huì )受到影響？相關(guān)人士表示，影響幾乎為零。

 “如果銀行使用了帶有該漏洞的OpenSSL開(kāi)源軟件版本，會(huì )有一定影響。但是這個(gè)漏洞只是竊取內存中的數據，銀行的用戶(hù)密碼還有一重加密保護，一般不會(huì )在SSL服務(wù)器解密，所以也就很難拿到銀行用戶(hù)的密碼。”中國金融認證中心應用開(kāi)發(fā)部總經(jīng)理林峰，此前在接受采訪(fǎng)時(shí)解釋。

什么是SSL？“簡(jiǎn)單地來(lái)說(shuō)，SSL是一種加密協(xié)議，如果網(wǎng)站不采用這種加密協(xié)議的話(huà)，用戶(hù)在登錄時(shí)候的用戶(hù)名、密碼等信息，會(huì )以明文的形式進(jìn)行傳輸，非常不安全。”王先生解釋說(shuō)。

那我們現在是否需要去修改相關(guān)網(wǎng)站的密碼呢？這個(gè)得看情況，王先生建議說(shuō)：“如果這個(gè)網(wǎng)站并未升級，那么你去登錄了，就會(huì )有一定的風(fēng)險，因為你的用戶(hù)名等相關(guān)信息，都會(huì )存在網(wǎng)站的服務(wù)器內存上，黑客只要入侵這個(gè)服務(wù)器，對這些數據進(jìn)行解碼，就可以知曉相關(guān)信息。如果這個(gè)網(wǎng)站已經(jīng)確認升級過(guò)其OpenSSL，那么修改密碼是一種比較保險的行為。”

此外，金山毒霸安全專(zhuān)家李鐵軍此前也建議，盡可能開(kāi)通手機驗證或動(dòng)態(tài)密碼，最好綁定手機。這樣登錄重要服務(wù)時(shí)，除了需要驗證用戶(hù)名密碼，還需加手機驗證碼登錄。那么就算黑客拿到賬戶(hù)密碼，登錄還有另一道門(mén)檻。安全專(zhuān)家建議，一個(gè)密碼的使用時(shí)間不宜過(guò)長(cháng)，超過(guò)3個(gè)月就該換一換。

縱深

登錄網(wǎng)站就會(huì )被竊取密碼？

事實(shí)確實(shí)如此。王先生表示，這個(gè)漏洞其實(shí)并不是這段時(shí)間才出現的，實(shí)際上它出現于2012年。至今兩年多，誰(shuí)也不知道是否已經(jīng)有黑客利用漏洞獲取了用戶(hù)資料。而且由于該漏洞即使被入侵，也不會(huì )在服務(wù)器日志中留下痕跡，所以目前還沒(méi)有辦法確認哪些服務(wù)器被入侵，也就沒(méi)法定位損失、確認泄露信息，從而通知用戶(hù)進(jìn)行補救。不過(guò)，只有在用戶(hù)使用有漏洞的服務(wù)時(shí)，正好有人在利用監視這個(gè)漏洞，你的密碼才有可能被竊取。所以，一般用戶(hù)不用太過(guò)緊張。