您好,欢迎来到61ic! | [登录] [注册] 忘记密码 | 设为首页 帮助
 . 网站首页 . 业界新闻 . 设计中心 . 移动技术 . TI专栏 . ADI专栏 . FPGA专栏 . 代码工厂 . 官方商城 . 
 . 活动专区 . 新品快递 . 解决方案 . 前沿科技 . TI资源 . ADI资源 . FPGA资源 . 下载中心 . 产品展示 . 
加入收藏
付款方式
联系我们
您现在的位置: 61IC电子在线 >> 前沿科技 >> 电脑 >> 正文
  [组图]SSL心脏出血漏洞波及范围广 如何做好自我防护?           ★★★ 【字体:
SSL心脏出血漏洞波及范围广 如何做好自我防护?
作者:evolife    文章来源:evolife    点击数:    更新时间:2014-4-15    

上周,互联网通用加密协议遭到有史以来最严峻的挑战,从芬兰到硅谷,有一支小规模的漏洞猎手团队发现了互联网历史上最为严重的网络安全漏洞——Heartbleed bug(也称心脏出血漏洞)。Heartbleed是一个出现在开源加密库OpenSSL的程序错误,可允许攻击者读取服务器或客户端的部分内存信息,从而获得如服务器SSL私钥之类的信息。由于SSL是目前互联网行业通用的加密协议,一时间,“咕咚来了”的惊呼不绝于耳。

当用户使用类似于Facebook或Gmail等用户认为安全的网站发送信息时,网线一端的计算机需要了解另一端的计算机是否仍然在线,所以他们会发出一个被称为“心脏跳动”(Heartbeat) 的小型数据包,请求对方响应,如果另一端计算机也在线,他们就会使用内存中储存的信息做出响应,而SSL漏洞的问题就出在这里。通过向存在漏洞的目标发送畸形的Heartbeat请求, 攻击者能够诱使对方使用内存中的敏感数据作出回应,从而获得信用卡密码,私人邮件等有价值的信息。

对审计日志的检查似乎表明,在这个严重的SSL漏洞被发现和公开之前,一些攻击者可能已经利用了该漏洞,持续时间至少达五个月。

密歇根大学的一个安全研究团队利用开源网络扫描工具ZMap搜索存在Heartbleed漏洞的网站。Heartbleed漏洞可以让攻击者从使用OpenSSL 1.0.1加密库的Web服务器内存中提取用户名密码等敏感信息。研究人员完整扫描了地址空间,截至4月10日2:00 PM,Alexa排名前百万的网站中有32%支持SSL,在支持HTTPS的网站中,9%存在漏洞。有31.9%安全的支持OpenSSL TLS Heartbeat Extension, 59%不支持Heartbeat Extension(也就是安全的)。

对IPv4地址空间的完整扫描显示,支持HTTPS的主机5.7%仍然存在漏洞,5.3%安全, 90%不支持Heartbeat Extension。研究人员根据Alexa排名公开了前1000个存在漏洞的网站名单,其中包括twitpic.com和一家深圳公司大疆创新。

从Heartbleed漏洞被曝光以来,大部分公司已经修复或着手修复这一问题。当然,作为网民的各位小伙伴也不能就此高枕无忧,我们还是需要采取一些措施来进行自我防护,以防止各种账户遭到盗窃,尤其是网银账户。服务器端的漏洞修补实际上不是我们力所能及的范围,所以,目前个人用户能做的主要有两点:1.修改密码;2.清空浏览记录。

首先,你应该向出现漏洞的网站确认其已经更新了SSL证书文件后,重新设定一个账户密码。

接下来,你应该将你的浏览器缓存彻底清空:

【谷歌Chorme浏览器】

在浏览器地址栏输入chrome://settings/clearBrowserData,而后选择你要清除的项目,建议全选并删除所有数据。

【Firefox 火狐浏览器】

从工具或历史菜单里面选择删除浏览记录,可根据时间节点来选择清理范围。

【IE9或更新版本】

在工具栏里找到安全选项卡,而后即可清除IE临时文件和Cookie。

最后,你还应该检查你的银行账户是否有异常状况,如果有可能,你过去凡是使用过在线交易的银行帐号,都要修改一遍交易密码。

文章录入:admin    责任编辑:admin 
  • 上一篇文章:

  • 下一篇文章: 没有了
  • 发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口
    最新热点 最新推荐 相关文章
    没有相关文章
      网友评论:(只显示最新10条。评论内容只代表网友观点,与本站立场无关!)
    站长:61 湘ICP备13001086号-2