OpenSSL 的 Heartbleed 漏洞的影响到底有多大? 第1页
1
Ivony 网友的相关建议:
可以用十年一遇来形容了,
OpenSSL在Linux和开源领域应用极为广泛,这个漏洞出在SSL这种核心组件上,Dump出来的数据包含身份验证信息的可能性极大,远不是其他漏洞可以比的。
这个漏洞的影响将会极其深远,从短期来看及时更新版本避开有漏洞的OpenSSL版本可以解决问题。但是在这期间泄露的身份验证信息是无法追踪得知的,换言之任何可能曾经存在这个漏洞的系统的所有身份验证信息都有可能已经被泄露。这使得漏洞被修复后将造成严重的安全假象,很可能很多系统的管理员权限和身份验证已经被窃取而不所知。甚至有些密码是无法被简单修改的。
仅仅是修改自己的密码并不能保证绝对的安全,因为谁也不知道你面对的是不是CSDN那种没有节操的用明文保存密码的网站,对于这种网站而言,利用之前因为漏洞流出的系统管理员密码登陆则可以轻松地获取你最新的密码。
这次爆出的这个漏洞的几个特性应该完全可以称之为十年一遇:
广泛性:OpenSSL组件应用范围极其广泛。
核心性:OpenSSL组件主要提供SSL服务,该服务经常用于传输敏感信息例如密码。
不可追踪性:黑客利用此漏洞后不会留下任何痕迹,永远无法知道黑客通过该漏洞获取了什么信息。
易攻击性:HTTPS协议是外层公开协议,没有防火墙或者其他保护措施,任何人都可以随意发动攻击。
1
相关话题
不管黑客用了多少跳板,最终是不是可以通过网络运营商找出真实 IP?什么是酷派后门事件,如何评价这一现象?这是一种行业默契么?
如何看待网传「武汉返乡人员信息被泄露」事件?
为什么现代编程语言通常对 null 深恶痛绝,却鲜有特殊对待 0 的呢?
SecureRandom的nextInt()继承自Random,为什么他就比Random安全?
商业银行使用外资厂商生产的服务器是否能危及到金融安全?
HeartBleed 漏洞从被发现到曝光,中间的这么长时间,黑客们都干什么去了?
OpenSSL、Berkeley Sockets 是否存在「超级秘密」的漏洞,以至于任何基于通用 OS 的防御都是徒劳的?
DH算法为什么属于非对称加密算法?
「京东金融 app 疑似自行获取用户私人图片」是真的吗?可能有哪些风险?
下一个讨论
为什么电饭煲没有开关?
相关的话题
为什么会收到和银行官方号码完全一样的短信如果连号码都能做成一样的是不是电话手机网络什么都可能会有问题?课堂上传纸条如何防范中间人攻击?
有哪些网络安全上的事实,没有一定安全知识的人不会相信?
如何评价美国安全部对大疆进行警告,或因莫须有的原因成下一个被制裁的中国公司?
如何看待近期媒体报道的「境外组织策反博士高级工程师」一案?涉密信息被泄漏到境外后果有多严重?
苹果公司可以读到 iMessage 传输的内容吗,这样端到端的加密可能被破解吗?
如何看待网络安全审查办公室对「滴滴出行」启动网络安全审查?
零基础学习网络安全这一块,请问有哪些相关资料可以推荐一下?
有哪些网络安全上的事实,没有一定安全知识的人不会相信?
如何知道是谁泄露了你的信息?
如何看待半年巨亏 13 亿的万豪因泄露客户数据获罚 1.6 亿? 酒店为何频中招?
区块链的安全性是否被高估了?
为什么搞安全「猥琐」最重要?
在中国,黑客真的能侵入银行吗?
现行条件下是否真的无法完全抹除已在电子设备上删除的信息?
如何知道是谁泄露了你的信息?
在暴力破解密码的过程中,黑客们是如何绕开试错次数的?
如何看待美国研究人员设计出的「无法被黑的芯片」?
媒体称富途、老虎证券在用户信息安全等方面存在风险,富途控股、老虎证券盘前跌超6%,有哪些信息值得关注?
能否构造一个含有自己哈希或MD5等的文件?
你所在的行业与城市,什么条件可以月薪一万五?
electron 安全么?
作为安全工程师你收到过哪些奇葩的私信?
对一堆文件中的每一个文件单独加密,如果已知其中一些文件的明文和密文,是否会导致能推断出密钥?
OpenSSL 的 Heartbleed 漏洞的影响到底有多大?
如何看待兼修网络安全和人工智能?
如何看待山东女生近万元大学学费被骗走,伤心过度突然晕厥离世一事?
程序员如何提高安全的编码能力?
个人信息的泄露在今天已经严重到了什么地步?对普通人的生活有多大的影响?
商业银行使用外资厂商生产的服务器是否能危及到金融安全?