OpenSSL曝重大漏洞 可導致密碼被盜

來源:互聯網
上載者:User
關鍵字 OpenSSL 密碼被盜
【TechWeb報導】4月9日消息,今日安全協定OpenSSL被爆出現嚴重安全性漏洞,該安全性漏洞被稱為Heartbleed。 漏洞被爆出可能會導致人們的帳號密碼、信用卡號碼等個人資訊失竊。 OpenSSL曝重大漏洞 可導致密碼被盜(TechWeb配圖)據瞭解,OpenSSL存在的缺陷在於,使用某些最新OpenSSL版本的Web伺服器會存儲一些不受記憶體保護的資料。 駭客可以獲取這些資料,重建有關使用者或金鑰的資訊,獲取使用者的加密資料。 OpenSSL漏洞的消息一出,許多網站措手不及,未能及時採取補救措施針對OpenSSL出現的問題,美國新聞網站Vox撰文,對Heartbleed漏洞進行了全面解讀。 其中包括:什麼是SSL? SSL是一種流行的加密技術,可以保護使用者通過互聯網傳輸的隱私資訊。 當使用者訪問Gmail.com等安全網站時,就會在URL位址旁看到一個鎖,表明你在該網站上的通訊資訊都被加密。 這個鎖表明,協力廠商無法讀取你與該網站之間的任何通訊資訊。 在後臺,通過SSL加密的資料只有接收者才能解密。 如果不法分子監聽了使用者的對話,也只能看到一串隨機字串,而無法瞭解電子郵件、Facebook帖子、信用卡帳號或其他隱私資訊的具體內容。 SSL最早在1994年由網景推出,1990年代以來已經被所有主流瀏覽器採納。 最近幾年,很多大型網路服務都已經預設利用這項技術加密資料。 如今,谷歌、雅虎和Facebook都在使用SSL預設對其網站和網路服務進行加密。 什麼是心臟出血漏洞? 多數SSL加密的網站都使用名為OpenSSL的開源套裝軟體。 本週一,研究人員宣佈這款軟體存在嚴重漏洞,可能導致使用者的通訊資訊暴露給監聽者。 OpenSSL大約兩年前就已經存在這一缺陷。 工作原理:SSL標準包含一個心跳選項,允許SSL連接一端的電腦發出一條簡短的資訊,確認另一端的電腦仍然線上,並獲取回饋。 研究人員發現,可以通過巧妙的手段發出惡意心跳資訊,欺騙另一端的電腦洩露機密資訊。 受影響的電腦可能會因此而被騙,併發送伺服器記憶體中的資訊。 該漏洞的影響大不大? 很大,因為有很多隱私資訊都存儲在伺服器記憶體中。 普林斯頓大學電腦科學家艾德·菲爾騰(Ed Felten)表示,使用這項技術的攻擊者可以通過模式匹配對資訊進行分類整理,從而找出金鑰、密碼,以及信用卡號等個人資訊。 丟失了信用卡號和密碼的危害有多大,相信已經不言而喻。 但金鑰被盜的後果可能更加嚴重。 這是是資訊伺服器用於整理加密資訊的一組代碼。 如果攻擊者獲取了伺服器的私密金鑰,便可讀取其收到的任何資訊,甚至能夠利用金鑰假冒伺服器,欺騙使用者洩露密碼和其他敏感資訊。
相關文章

聯繫我們

該頁面正文內容均來源於網絡整理,並不代表阿里雲官方的觀點,該頁面所提到的產品和服務也與阿里云無關,如果該頁面內容對您造成了困擾,歡迎寫郵件給我們,收到郵件我們將在5個工作日內處理。

如果您發現本社區中有涉嫌抄襲的內容,歡迎發送郵件至: info-contact@alibabacloud.com 進行舉報並提供相關證據,工作人員會在 5 個工作天內聯絡您,一經查實,本站將立刻刪除涉嫌侵權內容。

A Free Trial That Lets You Build Big!

Start building with 50+ products and up to 12 months usage for Elastic Compute Service

  • Sales Support

    1 on 1 presale consultation

  • After-Sales Support

    24/7 Technical Support 6 Free Tickets per Quarter Faster Response

  • Alibaba Cloud offers highly flexible support services tailored to meet your exact needs.