小宇宙百科

互联网危机——HeartBleed

​上周互联网安全再一次受到了挑战:OpenSSL——应用最广泛的开源加密库曝出一个叫做“心脏出血”的漏洞,喻指畸形的Heartbeat请求导致用户隐私如血液般涌出。使用较新版本的OpenSSL的互联网巨头,例如Google、Facebook纷纷中枪。

来自2014/04/17/ 小宇宙百科14061

沈迦勒/编 清凌/配图

​上周互联网安全再一次受到了挑战:OpenSSL——应用最广泛的开源加密库曝出一个叫做“心脏出血”的漏洞。其原理并不复杂,当用户登陆使用用户认为安全的网站发送信息时,服务端的计算机需要定期了解客户端是否仍然在线,所以客户端定期发出一个被称为“心跳”(Heartbeat) 的小型数据包,服务端会使用内存的信息组成数据包做出响应。而带有漏洞的版本不对响应长度进行校验,于是对精心构造的、畸形的心跳请求,会使用最多长达64K的内存响应,其中就有可能包含密码等敏感信息。但这是随机64K内存,攻击者并不能控制其中包含的内容。

Google安全专家于4月3日率先提交了针对本漏洞的秘密报告,4月7日被OpenSSL官方发布确认。这个漏洞随后被提名命名为"HeartBleed"(心脏出血),喻指畸形的Heartbeat请求导致用户隐私如血液般涌出。使用较新版本的OpenSSL的互联网巨头,例如Google、Facebook纷纷中枪,甚至加拿大税务局因为此漏洞关闭了在线服务。虽然这是一个高危漏洞,但其实并没有被报导的这么严重,且各大网站已经第一时间进行了修复。但安全起见,有敏感信息的网站还是建议做修改密码处理。沈 迦勒/编·图灵的苹果

编者 沈迦勒

代码如诗

文章评论 (0)

  • 暂无评论。
留下您的评论

还没有登录?请先 登录