日，OpenSSL发布了安全公告，在OpenSSL1.0.1版本中存在严重漏洞(CVE-)，这也是本年度最严重的安全漏洞。据谷歌和网络安全公司Codenomicon的研究人员透露，OpenSSL加密代码中一种名为Heartbleed的漏洞存在已有两年之久。该漏洞能够泄露服务器内存中的内容，而这其中包含了一些最敏感的数据，例如用户名、密码和信用卡号等隐私数据。目前已有业内人士表示，利用这一漏洞获得了雅虎用户的密码。
热点专题推荐
刚刚过去的这个周末很不太平。3月22日下午6点，白帽子黑客“猪猪侠”在乌云…2013年，SDN，BYOD，100G、云计算等技术让网络领域焕发蓬勃生机。2014年，…又是一个岁末年初的节点。你的2013是什么颜色？是否已经实现最初的梦想？有…2013年，云计算、移动互联、物联网、SDN、大数据等技术的应用，及威胁态势…2013年，网络空间依然不太平，各类安全事件频发。年中斯诺登曝出棱镜事件不…由于电商网站直接涉及金钱交易，其本身安全性至关重要。网站只有自身安全了…2013年，云计算、移动互联、物联网、SDN、大数据等技术的应用，带来了安全…"近几年，安全威胁发生了很大变化，尤其是高级持续性威胁（简称APT）有愈演…Blackhat安全技术大会是世界上最好的能够了解未来安全趋势的信息峰会。 专…棱镜的曝光，令美国颇为尴尬，不止因为棱镜项目本身，而是美国对包括中国在…截至目前，台菲就渔船枪击事件的谈判还未平息，但在两地民间黑客战争中，菲…“Cookies”也被称为HTTP cookies、网络cookies或浏览器cookies，它是当您…
你认为这次的OpenSSL漏洞后果严重吗？
没那么严重，被过分炒作
古有“晴雯补裘”，今有“网络补漏”。当互联网成为人们生活的必需品，当大大小...
为更好地应对互联网安全挑战，交流最新的安全技术与解决方案，国内规模最大的信...
OWASP中国峰会已经成为中国应用安全领域的高端峰会。本次OWASP 2011亚洲峰会特...
【导读】目前，因为ARP而导致企业网络瘫痪的例子举不胜举，很多企业面对这些攻...iOS、OS X没有受到“心脏出血”的影响
招聘信息：
本周爆出的Heartbleed漏洞让50多万个网站受到攻击，但苹果在日前表示，他们的移动产品、桌面设备以及网页服务均没有受到Heartbleed的影响。
一位苹果发言人对Re/code说：&苹果对安全问题的态度一向非常严肃。iOS和OSX中都没有存在漏洞的软件，核心的网页服务也没有受到Heartbleed漏洞的影响。&
Heartbleed是一项存在于OpenSSL库中的安全漏洞，最早由网页安全公司Codenomicon曝出。由于很多网站采用OpenSSL来保护敏感的用户信息，Heartbleed漏洞让大量的用户信息暴露在随时被窃取的危险中。
目前网络公司都在紧急地发布补丁，以此修补网页中的Heartbleed漏洞。安全专家提醒用户，要及时更新可能受到Heartbleed影响的网站的密码，以免个人信息被窃。
微信扫一扫
订阅每日移动开发及APP推广热点资讯公众号：CocoaChina
点击量6783点击量6368点击量5639点击量4706点击量4610点击量4521点击量4468点击量3908点击量3731
&CocoaChina
京公网安备89推荐这篇日记的豆列
······“心脏出血”的经济影响正在发酵
全球近期被一个新鲜的词组———“”(H&eartbleed)折腾得心惊肉跳、寝食难安，因为这个名词，几乎颠覆了互联网世界一切既定秩序。然而，与以往不同，“心脏出血”既不是什么凶猛的病毒，也不是什么叵测的密码，而只是一个程序上的，且这个漏洞很可能并非出于蓄意破坏，而只是一次阴差阳错的疏忽所致。2010年底，开源加密库O&penSSL程序员、德国人罗宾·赛格尔曼提交了一份例行程序代码升级方案，由于时值新年假期前夕，赛格尔曼本人和审查者斯蒂芬·亨森鬼使神差地均未发现其中包含一个致命的程序漏洞，这个漏洞一旦更新成为O&penSSL代码的一部分，就可能赋予这一加密库一个危险破绽，有经验的黑客可借此读取网络服务器内存，从而访问并窃取最敏感、最核心的用户数据。由于O&penSSL本身的用途，正是为网站数据加密并提供隐私保护，通俗地说，就是网络安全的“密码锁”，“心脏出血”恰恰让这把“密码锁”的密码钥匙被公然挂在客厅里，后果可想而知。4月3日，工程师尼尔·梅塔首先发现了“心脏出血”漏洞，随后计算机安全公司C&odenom&icon也发现了问题，并进一步证实了问题的严重性。4月7日，、GitH&ub、LastPass等网站相继发布公告，承认受到“心脏出血”漏洞影响，建议用户更改密码。直至此时，大部分主流网站和几乎所有主要电子运营商都对此事保持缄默，甚至有人乐观预期，“心脏出血”不过是“让大家麻烦些更换密码”的癣疥之患。然而更惊人的消息很快传出：几天后，拥有150万注册用户的英国育婴网站M&um&snet公开承认，自己的数据库被黑客借助“心脏出血”漏洞成功入侵，部分用户密码和个人信息被盗。据称，该网站创始人朱斯汀·罗伯茨在自己网站上注册的个人ID和密码被人窃取并在网站发布信息，随后黑客主动通知网站管理员，表示自己是通过“心脏出血”漏洞成功入侵，警告“数据库不安全”。4月11日，著名黑客费多尔·安度特尼也通过“亲身实践”证明，通过“心脏出血”漏洞，熟练黑客可创建一个和合法网站一模一样的假网站，并伪造电子证书，诱使用户在注册、登录或进行在线交易时泄露有价值的个人信息。上述消息意味着，此前一些人“只要换一下用户密码就万事大吉”的乐观预期与事实不符“心脏出血”可远不是个密码保护问题。几乎与此同时，加拿大联邦税务局(C&R&A)宣布，同样因“心脏出血”漏洞，黑客闯入C&R&A官网数据库，窃取了多达900人的社会保险卡(SIN&)资料。如果说此前的M&um&snet事件，黑客还带有试验、预警的“正面”目的，那么加拿大联邦税务局的失密事件，可谓“心脏出血”漏洞公开披露后第一次证据确凿、恶意明显的人为攻击。从经济上讲，“心脏出血”已开始构成经济上的直接损失和间接影响。因为900人的SIN卡信息被盗，加拿大局CR&A官方网站一度被迫关闭，原定4月12日的恢复时间被拖延到15日，且开放当天因信息涌入过多而造成网络访问不畅。C&R&A网站长时间关闭，影响了众多人网上报税，因为每年4月30日是加拿大报税最终期限，按规定倘4月30日前不能完成报税，会遭到罚款和收取利息。为此，CR&A最终不得不宣布，今年如果逾期，将不会被追究责任。此外，CR&A网络系统的关闭会影响某些中小企业的财务，甚至一来很多单位将无法按时发放员工工资。一些财务专家指出，由于漏洞系与O&penSSL加密库“捆绑”，CR&A不得不斥巨资紧急更换了整个加密系统，不仅如此，当4月11日“安度特尼实验”的信息被披露后，CR&A为防万一，不得不宣布将更多采用普通挂号信、而非电子邮件方式和用户联系，这意味着需要雇佣更多临时性人手，以及随之而来的成本增加。然而“心脏出血”所造成的，恐远不止于此。“心脏出血”给人们最大的震撼，在于迄今让互联网保持通畅，让人们相信网上交联这种“看不见的交流”可以建立，甚至可以发生商业交易的前提———&如今都被证明不可靠，或至少“不知道是否可靠”。此次“心脏出血”漏洞曝光之初，人们还庆幸除了雅虎，很少有大公司、知名网站卷入其中，但“安度特尼实验”和加拿大CR&A网站的失密和一度瘫痪，让人们匆匆筑起的心理临时防线瞬间崩溃。不管漏洞产生的真相是否出于故意，但谁都无法确信，其它类似情况和场合是否会重演；同样谁都无法确信，下一次人们碰上的仅仅是又一次“心脏出血”，而非心肌梗塞。“心脏出血”漏洞刚刚报告之际，G&itH&ub匆匆发布了一份“安民告示”，列举了据称截至4月8日，对访问量排名TO&P1000网站的“全面权威性调查”，得出的结论是，雅虎、Im&gur等若干网站“存在较大隐患和风险”，而谷歌、脸书、维基百科、推特和在线等主要网站“安全没有问题”。但只几天功夫，“白名单”上的在线就公开承认“可能受到漏洞影响”，维基百科虽未直接提及“心脏出血”，却建议用户更改密码，更让人啼笑皆非的是，G&itH&ub自己随后也发布了和亚马逊在线几乎如出一辙的声明。这种做法本身，恐只会令本已被“心脏出血”严重影响了其对网络安全、对在线服务、对运营商信心的用户们，产生更多不信任感。
《》援引专家最新预计，认为“心脏出血”的直接、间接影响，将覆盖全球互联网用户的2/3，并促使成千上万用户改变其对谷歌、雅虎、脸书等的密码和使用方式。目前最有效的补救方式，是让每一家可能受到影响的网站更换安全证书，这势必牵扯到一笔庞大的开支。经此一役，无论是用户或者个人恐怕都会削弱对在线业务、电子营商的信心和兴趣。或许，如某些专家所言，近年来流行的“通过增加密码锁增加安全感”的网站安全维护思路，需要有所调整了———&事实证明，这样做不仅耗费巨大，而且，一旦出问题的是密码锁本身，后果甚至比“开门揖盗”更不堪设想。陶短房(旅加学者，知名专栏作家，国际政治、经济评论人)外约个论仅为作者个人观点，不代表本报立场。“来论”投稿邮箱ndlz@foxm&。
本文来源：南方都市报
关键词阅读：
不做嘴炮 只管约到
跟贴热词：
文明上网，登录发贴
网友评论仅供其表达个人看法，并不表明网易立场。
热门产品:　　　
:　　　　　　　　
:　　　　　　　　　
热门影院：}