OpenSSL 的 Heartbleed 漏洞的影响到底有多大? 第1页
1
Ivony 网友的相关建议:
可以用十年一遇来形容了,
OpenSSL在Linux和开源领域应用极为广泛,这个漏洞出在SSL这种核心组件上,Dump出来的数据包含身份验证信息的可能性极大,远不是其他漏洞可以比的。
这个漏洞的影响将会极其深远,从短期来看及时更新版本避开有漏洞的OpenSSL版本可以解决问题。但是在这期间泄露的身份验证信息是无法追踪得知的,换言之任何可能曾经存在这个漏洞的系统的所有身份验证信息都有可能已经被泄露。这使得漏洞被修复后将造成严重的安全假象,很可能很多系统的管理员权限和身份验证已经被窃取而不所知。甚至有些密码是无法被简单修改的。
仅仅是修改自己的密码并不能保证绝对的安全,因为谁也不知道你面对的是不是CSDN那种没有节操的用明文保存密码的网站,对于这种网站而言,利用之前因为漏洞流出的系统管理员密码登陆则可以轻松地获取你最新的密码。
这次爆出的这个漏洞的几个特性应该完全可以称之为十年一遇:
广泛性:OpenSSL组件应用范围极其广泛。
核心性:OpenSSL组件主要提供SSL服务,该服务经常用于传输敏感信息例如密码。
不可追踪性:黑客利用此漏洞后不会留下任何痕迹,永远无法知道黑客通过该漏洞获取了什么信息。
易攻击性:HTTPS协议是外层公开协议,没有防火墙或者其他保护措施,任何人都可以随意发动攻击。
1
相关话题
如何看待支付宝 2017 账单「默认勾选」的芝麻服务协议?如何看待兼修网络安全和人工智能?
如何看待中国工程院院士沈昌祥提出 Windows 10 操作系统危害中国网络安全?
「京东金融 app 疑似自行获取用户私人图片」是真的吗?可能有哪些风险?
隐私计算/多方安全计算/联邦学习问题?
电脑中了勒索病毒,办公文件全部变成了.Cerber3/B477加密文件,怎么办?如何解密?
如何看待大量国产输入法被下架?
HeartBleed 漏洞从被发现到曝光,中间的这么长时间,黑客们都干什么去了?
如何看待支付宝「实名认证」时,如果选择了人脸验证则无法取消?
如何评价美国安全部对大疆进行警告,或因莫须有的原因成下一个被制裁的中国公司?
下一个讨论
为什么电饭煲没有开关?
相关的话题
如何看待中国沃通wosign偷偷收购自己的根CA startcom并且签发github.com的证书?如何看待支付宝「实名认证」时,如果选择了人脸验证则无法取消?
electron 安全么?
各种浏览器的隐私/无痕模式能否真的能够解决隐私问题?
如何看待山东女生近万元大学学费被骗走,伤心过度突然晕厥离世一事?
评估内网的web应用意义大吗?
病毒代码需要debug吗,测试的时候难道不会损坏本地设备吗?
如何看待自称「超声波指纹更安全」的三星多款手机被中国银行禁用指纹支付?
如何看待网传「武汉返乡人员信息被泄露」事件?
对电脑一点都不了解可以学习信息安全技术吗?
养成哪些上网习惯可以避免泄露重要的个人隐私?
如何看待近期媒体报道的「境外组织策反博士高级工程师」一案?涉密信息被泄漏到境外后果有多严重?
美国银行卡进行网上购物,只需要卡号CVV和过期时间,但这些信息全都印在卡上,这样安全吗?
如何看待大量国产输入法被下架?
3 月 19 日微博数据疑似大规模泄露,用户手机号等信息外流是真的吗?暴露了哪些问题?
为何早期版本Windows NT需要ctrl alt delete三键才可以登录?
如何看待白帽子在乌云网提交世纪佳缘网漏洞后被抓?
能否构造一个含有自己哈希或MD5等的文件?
为什么华为在国际上会因为信息安全受到质疑并几乎寸步难行,而在国内却认为只需要国人买手机就能解决问题?
现行条件下是否真的无法完全抹除已在电子设备上删除的信息?
国内网络安全行业人才何时饱和,这个行业还有几年的热度?
银行卡的密码数据信息是保存在卡里面还是银行数据库?
网上流传的所谓「支付宝偷偷添加根证书,将造成安全隐患」的说法是否正确?
为什么更安全的 HTTPS 协议没有在互联网上全面采用?
联合权限(Federated Identity)的架构问题?
OpenSSL 的 Heartbleed 漏洞的影响到底有多大?
不管黑客用了多少跳板,最终是不是可以通过网络运营商找出真实 IP?
在中国,黑客真的能侵入银行吗?
什么是酷派后门事件,如何评价这一现象?这是一种行业默契么?
用工具的人能称得上的黑客吗?