·如视的专利密码:如何构建数字空间“护城河”·2025通信会丨以创新技术赋能新型电力系统 锐捷知识大脑推动效率提升·从技术到战场:华为云联创营破解AI落地“产业密码”·Aqara 语音伴侣 H1 正式发布:全屋妙控,一句就 AI 了·Social to Sales,助力品牌全球业务增长|数说故事十周年战略升级·赋能汽车新生态:神州数码、思科携手开展圆桌研讨会·AI落地真场景,共探增长新境|数说故事D3论坛圆满收官·文心快码3.5 全新升级:为百度创造40%新增代码,累计服务760万开发者·海南联通发布"双万兆"网络建设成果,联合华为构筑自贸港数字经济新基座·外卖实况窗更便捷,百亿补贴更优惠!速来体验鸿蒙版京东品质外卖·智能驾驶热潮下的安全觉醒:华为联合11家车企推动行业自律与技术升级·小米手机时隔十年再次登顶国内榜首,超越华为、OPPO、苹果·QQ 9.1.70新版本开启测试,可支持微信小程序·恭喜林更新成为高贵的E8玩家!海信百吋大屏让客厅秒变世俱杯赛场·首发骁龙8至尊领先版!电竞性能旗舰荣耀GT Pro正式发布,3199元起·7200mAh巨兽电池、骁龙8至尊芯、电竞级操控,荣耀GT Pro重新定义3000元档位的游戏规则·“小屏大魔王”一加13T正式发布 国补后售价2899元起·抖音生活服务2025年「心动榜」发布:“好吃”和“吃好”都重要·年轻人的假期续航包:把餐厅吃成“旅行试用装”·比旗舰还旗舰?刚爆料的这款高定电视,实在令人期待!·2025中国家庭全屋用水行业高峰论坛召开,华帝引领用水健康变革·BYDFi正式上线链上交易工具MoonX 开启CEX+DEX双引擎时代·百度有驾硬核亮相2025上海车展:用创新技术打通行业对话与用户服务·星环科技入选大模型应用交付供应商名录,领航AI产业新生态·苏宁易购深耕粤海市场,战略全面启动!·酷开教育智能体:以AI互动开启“学练思”一体化革命·荣耀 MagicBook Pro16 笔记本 HUNTER 版 4 月 30 日发布,搭载 RTX5070 显卡·真我GT7正式发布,2599元起,搭载3nm天玑9400+·YOUMAGIC溯源活动圆满落幕,揭秘清华智造科技美学新范式·当西湖醋鱼遇见奥斯卡影帝:一场厨房里的中美烹饪文化外交
您现在的位置:首页 >> 滚动 >> 正文
解析OpenSSL漏洞:影响巨大 两年前已存在
发表时间:2014年4月9日 11:30 来源:新浪科技 责任编辑:编 辑:麒麟

新浪科技讯 北京时间4月9日上午消息,美国新闻网站Vox周二撰文,对当天公布的OpenSSL“心脏流血”漏洞进行了全面解读。

以下为文章全文:

什么是SSL?

SSL是一种流行的加密技术,可以保护用户通过互联网传输的隐私信息。当用户访问Gmail.com等安全网站时,就会在URL地址旁看到一个“锁”,表明你在该网站上的通讯信息都被加密。

这个“锁”表明,第三方无法读取你与该网站之间的任何通讯信息。在后台,通过SSL加密的数据只有接收者才能解密。如果不法分子监听了用户的对话,也只能看到一串随机字符串,而无法了解电子邮件、Facebook帖子、信用卡账号或其他隐私信息的具体内容。

SSL最早在1994年由网景推出,1990年代以来已经被所有主流浏览器采纳。最近几年,很多大型网络服务都已经默认利用这项技术加密数据。如今,谷歌、雅虎和Facebook都在使用SSL默认对其网站和网络服务进行加密。

什么是“心脏出血”漏洞?

多数SSL加密的网站都使用名为OpenSSL的开源软件包。本周一,研究人员宣布这款软件存在严重漏洞,可能导致用户的通讯信息暴露给监听者。OpenSSL大约两年前就已经存在这一缺陷。

工作原理:SSL标准包含一个心跳选项,允许SSL连接一端的电脑发出一条简短的信息,确认另一端的电脑仍然在线,并获取反馈。研究人员发现,可以通过巧妙的手段发出恶意心跳信息,欺骗另一端的电脑泄露机密信息。受影响的电脑可能会因此而被骗,并发送服务器内存中的信息。

该漏洞的影响大不大?

很大,因为有很多隐私信息都存储在服务器内存中。普林斯顿大学计算机科学家艾德 菲尔腾(Ed Felten)表示,使用这项技术的攻击者可以通过模式匹配对信息进行分类整理,从而找出密钥、密码,以及信用卡号等个人信息。

丢失了信用卡号和密码的危害有多大,相信已经不言而喻。但密钥被盗的后果可能更加严重。这是是信息服务器用于整理加密信息的一组代码。如果攻击者获取了服务器的私钥,便可读取其收到的任何信息,甚至能够利用密钥假冒服务器,欺骗用户泄露密码和其他敏感信息。

谁发现的这个问题?

该漏洞是由Codenomicon和谷歌安全部门的研究人员独立发现的。为了将影响降到最低,研究人员已经与OpenSSL团队和其他关键的内部人士展开了合作,在公布该问题前就已经准备好修复方案。

谁能利用“心脏流血”漏洞?

“对于了解这项漏洞的人,要对其加以利用并不困难。”菲尔腾说。利用这项漏洞的软件在网上有很多,虽然这些软件并不像iPad应用那么容易使用,但任何拥有基本编程技能的人都能学会它的使用方法。

当然,这项漏洞对情报机构的价值或许最大,他们拥有足够的基础设施来对用户流量展开大规模拦截。我们知道,美国国家安全局(以下简称“NSA”)已经与美国电信运营商签订了秘密协议,可以进入到互联网的骨干网中。用户或许认为,Gmail和Facebook等网站上的SSL加密技术可以保护他们不受监听,但NSA 却可以借助“心脏流血”漏洞获取解密通讯信息的私钥。

虽然现在还不能确定,但如果NSA在“心脏流血”漏洞公之于众前就已经发现这一漏洞,也并不出人意料。OpenSSL是当今应用最广泛的加密软件之一,所以可以肯定的是,NSA的安全专家已经非常细致地研究过它的源代码。‘

[1]  [2]  
关于我们 | 联系我们 | 友情链接
新科技网络【京ICP备14006744号】
Copyright © 2014 Hnetn.com, All Right Reserved
版权所有 新科技网络
本站郑重声明:本站所载文章、数据仅供参考,使用前请核实,风险自负。