百科问答小站 logo
百科问答小站 font logo



OpenSSL 的 Heartbleed 漏洞的影响到底有多大? 第1页

  

user avatar   Ivony 网友的相关建议: 
      

可以用十年一遇来形容了,

OpenSSL在Linux和开源领域应用极为广泛,这个漏洞出在SSL这种核心组件上,Dump出来的数据包含身份验证信息的可能性极大,远不是其他漏洞可以比的。

这个漏洞的影响将会极其深远,从短期来看及时更新版本避开有漏洞的OpenSSL版本可以解决问题。但是在这期间泄露的身份验证信息是无法追踪得知的,换言之任何可能曾经存在这个漏洞的系统的所有身份验证信息都有可能已经被泄露。这使得漏洞被修复后将造成严重的安全假象,很可能很多系统的管理员权限和身份验证已经被窃取而不所知。甚至有些密码是无法被简单修改的。

仅仅是修改自己的密码并不能保证绝对的安全,因为谁也不知道你面对的是不是CSDN那种没有节操的用明文保存密码的网站,对于这种网站而言,利用之前因为漏洞流出的系统管理员密码登陆则可以轻松地获取你最新的密码。


这次爆出的这个漏洞的几个特性应该完全可以称之为十年一遇:

广泛性:OpenSSL组件应用范围极其广泛。

核心性:OpenSSL组件主要提供SSL服务,该服务经常用于传输敏感信息例如密码。

不可追踪性:黑客利用此漏洞后不会留下任何痕迹,永远无法知道黑客通过该漏洞获取了什么信息。

易攻击性:HTTPS协议是外层公开协议,没有防火墙或者其他保护措施,任何人都可以随意发动攻击。




  

相关话题

  如何看待半年巨亏 13 亿的万豪因泄露客户数据获罚 1.6 亿? 酒店为何频中招? 
  元宇宙可能面临哪些网络安全问题? 
  美国银行卡进行网上购物,只需要卡号CVV和过期时间,但这些信息全都印在卡上,这样安全吗? 
  为什么不少人抵制MIUI13内置的反诈系统? 
  工信部回应美撤销中国联通 214 牌照,称「坚决反对,将采取必要措施」,释放了哪些信号? 
  Diffie-Hellman密码交换是如何运作的? 
  如何看待支付宝「实名认证」时,如果选择了人脸验证则无法取消? 
  被第三方非法保留 5000 万用户数据,Facebook 再陷美国大选丑闻,暴露出了哪些问题? 
  网络安全培训哪家机构知名度高? 
  为什么更安全的 HTTPS 协议没有在互联网上全面采用? 

前一个讨论
用JavaScript做其他语言擅长的事情“好”么?
下一个讨论
为什么电饭煲没有开关?





© 2024-11-12 - tinynew.org. All Rights Reserved.
© 2024-11-12 - tinynew.org. 保留所有权利