心脏出血?这是什么漏洞?

 心脏出血?这是什么漏洞?

  最近几天,只要打开电脑,无论是浏览器还是安全管家,都会向你推送一个很紧急的安全通知:大部分网站“心脏出血”,请密切注意您的重要网站的信息安全。光是“心脏出血”这个标题就让人不明觉厉,那到底什么是“心脏出血”?要搞懂”心脏出血“的真正原因,必须要了解一点网站安全方面的常识。

  什么是SSL:

    SSL是一种流行的加密技术,可以保护用户通过互联网传输的隐私信息。当用户访问Gmail.com等安全网站时,就会在URL地址旁看到一个“锁”,表明你在该网站上的通讯信息都被加密。这个“锁”表明,第三方无法读取你与该网站之间的任何通讯信息。在后台,通过SSL加密的数据只有接收者才能解密。很多大型网络服务都已经默认利用这项技术加密数据。如今,谷歌、雅虎和Facebook都在使用SSL默认对其网站和网络服务进行加密。

   什么是openSSL?                     

    openSSL是一个开源的ssl安全软件包。也就是说,SSL是一种技术,一种原理和概念,可以有效的进行数据加密,而openSSL则是基于SSL加密原理开发的一个可以运行的开源软件包,是一种真正可以在电脑上运行的程序。网站的开发者要使用SSL加密技术,就会选择在自己的网站中导入openSSL软件包,实现网站数据加密。

   openSSL漏洞工作原理:

     SSL标准包含一个心跳选项,允许SSL连接一端的电脑发出一条简短的信息,确认另一端的电脑仍然在线,并获取反馈。研究人员发现,可以通过巧妙的手段发出恶意心跳信息,欺骗另一端的电脑泄露机密信息。受影响的电脑可能会因此而被骗,并发送服务器内存中的信息。如果一个黑客向一个社交网站的服务器发送这种恶意心跳信息,那么该社交网站的服务器很可能被欺骗,然后将服务器中用户的账号密码发送给该黑客,造成了用户信息的泄露。

    我们该怎么保护自己?

      1、在QQ聊天、处理邮件、上网浏览时,不要点击不受信任的https开头的链接,避免攻击导致个人重要信息泄露;

      2、对重要服务,尽可能开通手证或动态密码,比如支付宝、邮箱等,登录重要服务,不仅仅需要验证用户名密码,最好绑定手机,加手机验证码登录。这样就算黑客拿到帐户密码,登录还有另一道门槛;

      3、不要急着改密码,应该先确认一下自己使用的网站有没有修复该漏洞(网址:http://fish.ijinshan.com/checkopenssl/check),确认该网站已经修复漏洞之后,再修改密码,并且不同的网站设置不同的密码,以提高安全性。  

     ”心脏出血“漏洞的影响目前还在发酵,但是只要我们自己密切关注事态进展,并采取有效地措施,一定可以保护好自己的信息的。

 

附(目前知名网站的修复情况):

已修复漏洞的知名网站

银行
中国工商银行   www.icbc.com.cn
招商银行   www.cmbchina.com
中国农业银行   www.abchina.com
广东发展银行   ebank.gdb.com.cn
中国银行   www.boc.cn
深圳发展银行   bank.pingan.com
中国建设银行   www.ccb.cn
兴业银行   www.cib.com.cn
交通银行   www.bankcomm.com
上海浦东发展银行   www.spdb.com.cn
中信实业银行   www.ecitic.com
上海银行   www.bankofshanghai.com.cn
中国光大银行   www.cebbank.com
宁波市商业银行   www.nbcb.com.cn
中国民生银行   www.cmbc.com.cn
电商
淘宝   www.taobao.com
支付宝   www.alipay.com
京东   www.jd.com
卓越   www.amazon.cn
易迅   www.yixun.com
新蛋   www.newegg.cn
门户
新浪   www.sina.com.cn
网易   www.163.com
雅虎   www.yahoo.com
腾讯   www.qq.com

未修复漏洞的网站

  • aoyama-platinum.com
  • bookstores.umn.edu
  • www3.startsupport.com
  • cvvshop.lv
  • gdx.gestamp.com
  • 555wang.com
  • c.108198.com
  • 210.237.109.229
  • jc3.guiguyun.cn
  • snowsummit.tv
  • websterandsons.filecamp.com
  • 220.248.244.12
  • oa1.zrjt.com.cn
  • catwebedi.com
  • esupplier.amat.com
  • trac.syous.co.jp
  • 218.106.152.82
  • liji-ccms.fenxibao.com
  • elearning2.danahertm.com
  • sellerpartner.dxmallcloud.com

posted on 2014-04-13 07:56  不会熬夜的程序员  阅读(1083)  评论(0编辑  收藏  举报

导航