欧美性猛交XXXX免费看蜜桃,成人网18免费韩国,亚洲国产成人精品区综合,欧美日韩一区二区三区高清不卡,亚洲综合一区二区精品久久

一句話(huà)科普:OpenSSL就是互聯(lián)網(wǎng)上銷(xiāo)量最大的門(mén)鎖。

　　不過(guò)最新曝出的這個(gè)漏洞，則讓它成為無(wú)需鑰匙即可開(kāi)啟的廢鎖，雖然這把廢鎖被打開(kāi)的概率不高，但保險（放心保）起見(jiàn)，請修改密碼。

　　2014年4月8日，必將永載于互聯(lián)網(wǎng)史冊。這一天，互聯(lián)網(wǎng)世界發(fā)生兩件大事：一、微軟正式宣布XP停止服務(wù)退役；二、OpenSSL的超級大漏洞曝光。

　　很多普通人更關(guān)心第一件事，因為與自己切身相關(guān)。但事實(shí)上，第二件事，才是真正的大事件。

　　這個(gè)漏洞影響了多少網(wǎng)站，數字仍在評估當中，但放眼放去，我們經(jīng)常訪(fǎng)問(wèn)的支付寶、淘寶、微信公眾號、YY語(yǔ)音、陌陌、雅虎郵件、網(wǎng)銀等各種網(wǎng)站，基本上都出了問(wèn)題。

　　這一漏洞一旦被惡意利用，意味著(zhù)用戶(hù)登錄這些電商、網(wǎng)銀的賬戶(hù)、密碼等關(guān)鍵信息都有可能泄露，造成財產(chǎn)損失。

　　而在國外，受到波及的網(wǎng)站也數不勝數，就連大名鼎鼎的NASA（美國航空航天局）也已宣布，用戶(hù)數據庫遭泄露。

　　這個(gè)漏洞被曝光的黑客命名為“heartbleed”，意思是“心臟出血”—代表著(zhù)最致命的內傷,這是一個(gè)極為貼切的表述。

　　這一夜，互聯(lián)網(wǎng)門(mén)戶(hù)大開(kāi)

　　網(wǎng)絡(luò )基礎安全協(xié)議曝出大漏洞

　　4月8日，網(wǎng)絡(luò )安全協(xié)議OpenSLL被曝出存在安全漏洞，該協(xié)議常用于電商、網(wǎng)銀等安全性極高的網(wǎng)站。

　　該漏洞是由安全公司Codenomicon和谷歌安全工程師發(fā)現的。為了將影響降到最低，該研究人員已經(jīng)與OpenSSL團隊和其他關(guān)鍵的內部人士展開(kāi)了合作，在公布該問(wèn)題前就已經(jīng)準備好修復方案。

　　程序員Sean Cassidy在自己的博客上詳細描述了這個(gè)漏洞的機制。他披露，OpenSSL的源代碼中存在一個(gè)漏洞，可以讓攻擊者獲得服務(wù)器上64K內存中的數據內容。這部分數據中，可能存有安全證書(shū)、用戶(hù)名與密碼、聊天工具的消息、電子郵件以及重要的商業(yè)文檔等數據。

　　OpenSSL是目前互聯(lián)網(wǎng)上應用最廣泛的安全傳輸方法?？梢哉f(shuō)，它是互聯(lián)網(wǎng)上銷(xiāo)量最大的門(mén)鎖。而Sean曝出的這個(gè)漏洞，則讓特定版本的OpenSSL成為無(wú)需鑰匙即可開(kāi)啟的廢鎖；入侵者每次可以翻檢戶(hù)主的64K信息，只要有足夠的耐心和時(shí)間，他可以翻檢足夠多的數據，拼湊出戶(hù)主的銀行密碼、私信等敏感數據；假如戶(hù)主是個(gè)開(kāi)商店的或開(kāi)銀行的，那么在他這里買(mǎi)東西、存錢(qián)的用戶(hù)，其個(gè)人最敏感的數據也可能被入侵者獲取。發(fā)現者們給這個(gè)漏洞起了個(gè)形象的名字：heartbleed，“心臟出血”。這一夜，互聯(lián)網(wǎng)的安全核心，開(kāi)始滴血。

　　什么是SSL？

　　SSL是一種流行的加密技術(shù)，可以保護用戶(hù)通過(guò)互聯(lián)網(wǎng)傳輸的隱私信息。當用戶(hù)訪(fǎng)問(wèn)Gmail.com等安全網(wǎng)站時(shí)，就會(huì )在URL地址旁看到一個(gè)“鎖”，表明你在該網(wǎng)站上的通訊信息都被加密。

　　這個(gè)“鎖”表明，第三方無(wú)法讀取你與該網(wǎng)站之間的任何通訊信息。在后臺，通過(guò)SSL加密的數據只有接收者才能解密。如果不法分子監聽(tīng)用戶(hù)的對話(huà)，也只能看到一串隨機字符串，而無(wú)法了解電子郵件、Facebook帖子、信用卡賬號或其他隱私信息的具體內容。

　　SSL最早在1994年由網(wǎng)景推出，已經(jīng)被所有主流瀏覽器采納。最近幾年，很多大型網(wǎng)絡(luò )服務(wù)都已經(jīng)默認利用這項技術(shù)加密數據。如今，谷歌、雅虎和Facebook都在使用SSL對其網(wǎng)站和網(wǎng)絡(luò )服務(wù)進(jìn)行加密。

　　什么是“心臟出血”漏洞

　　多數SSL加密的網(wǎng)站都使用名為OpenSSL的開(kāi)源軟件包。

　　4月8日，研究人員宣布這款軟件存在嚴重漏洞，可能導致用戶(hù)的通訊信息暴露給監聽(tīng)者。

　　據悉，OpenSSL大約兩年前就已經(jīng)存在這一缺陷。

　　“心臟出血”漏洞的工作原理：SSL標準包含一個(gè)心跳選項，允許SSL連接一端的電腦發(fā)出一條簡(jiǎn)短的信息，確認另一端的電腦仍然在線(xiàn)，并獲取反饋。研究人員發(fā)現，可以通過(guò)巧妙的手段發(fā)出惡意心跳信息，欺騙另一端的電腦泄露機密信息。受影響的電腦可能會(huì )因此而被騙，并發(fā)送服務(wù)器內存中的信息。

　　誰(shuí)能利用漏洞？

　　“對于了解這項漏洞的人，要對其加以利用并不困難?！逼樟炙诡D大學(xué)計算機科學(xué)家菲爾騰說(shuō)。利用這項漏洞的軟件在網(wǎng)上有很多，任何擁有基本編程技能的人都能學(xué)會(huì )它的使用方法。

　　這項漏洞對情報機構的價(jià)值或許最大，他們擁有足夠的基礎設施來(lái)對用戶(hù)流量展開(kāi)大規模攔截。我們知道，美國國家安全局(以下簡(jiǎn)稱(chēng)“NSA”)已經(jīng)可以進(jìn)入到互聯(lián)網(wǎng)的骨干網(wǎng)中。用戶(hù)或許認為，Gmail和Facebook等網(wǎng)站上的SSL加密技術(shù)可以保護他們不受監聽(tīng)，但NSA 卻可以借助“心臟出血”漏洞獲取解密通訊信息的私鑰。

　　雖然現在還不能確定，但如果NSA在“心臟出血”漏洞公之于眾前就已經(jīng)發(fā)現這一漏洞，也并不出人意料。

　　有多少網(wǎng)站受到影響？

　　目前還沒(méi)有具體的統計數據，但發(fā)現該漏洞的研究人員指出，當今最熱門(mén)的兩大網(wǎng)絡(luò )服務(wù)器Apache和nginx都使用OpenSSL?？傮w來(lái)看，這兩種服務(wù)器約占全球網(wǎng)站總數的三分之二。

　　雅虎：“我們的團隊已經(jīng)在雅虎的主要資產(chǎn)中(包括雅虎主頁(yè)、雅虎搜索、雅虎電郵、雅虎財經(jīng)、雅虎體育、雅虎美食、雅虎科技、Flickr和Tumblr)成功部署適當的修復措施?！?/p>

　　谷歌：“我們已經(jīng)評估了SSL漏洞，并且給谷歌的關(guān)鍵服務(wù)打上了補丁?！盕acebook稱(chēng)，在該漏洞公開(kāi)時(shí)，該公司已經(jīng)解決了這一問(wèn)題。

　　微軟發(fā)言人也表示：“我們正在關(guān)注OpenSSL問(wèn)題的報道。如果確實(shí)對我們的設備和服務(wù)有影響，我們會(huì )采取必要措施保護用戶(hù)?！?/p>

　　這一漏洞，堪稱(chēng)“地震級別”

　　影響嚴重:還不知哪些服務(wù)器被入侵

　　“對于一個(gè)安全協(xié)議來(lái)說(shuō)，這樣的安全漏洞是非常嚴重的?！北本┲绖?chuàng )宇信息技術(shù)有限公司研究部總監鐘晨鳴說(shuō)。

　　該漏洞只能從內存中讀取64K的數據，而重要信息正好落在這個(gè)可讀取的64K上的幾率并不大，但是攻擊者可以不斷批量地去獲取這最新的64K數據，這樣就很大程度上可以得到盡可能多的用戶(hù)隱私信息。

　　據南京翰海源信息技術(shù)有限公司創(chuàng )始人方興介紹，通過(guò)這個(gè)漏洞，可以泄露以下四方面內容：一是私鑰，所有https站點(diǎn)的加密內容全能破解；二是網(wǎng)站用戶(hù)密碼，用戶(hù)資產(chǎn)如網(wǎng)銀等隱私數據被盜??；三是服務(wù)器配置和源碼，服務(wù)器可以被攻破；四是服務(wù)器掛掉不能提供服務(wù)。

　　一位安全行業(yè)人士透露，他在某著(zhù)名電商網(wǎng)站上用這個(gè)漏洞嘗試讀取數據，在讀取200次后，獲得了40多個(gè)用戶(hù)名、7個(gè)密碼，用這些密碼，他成功登錄該網(wǎng)站。

　　更大威脅: 部分涉及機構竟盲目樂(lè )觀(guān)

　　這一漏洞被曝出后，全球的黑客與安全保衛者們展開(kāi)了競賽。黑客在不停地試探各類(lèi)服務(wù)器，試圖從漏洞中抓取到盡量多的用戶(hù)數據；安全保衛者則在盡可能短的時(shí)間里升級系統、彌補漏洞，實(shí)在來(lái)不及實(shí)施的則暫時(shí)關(guān)閉某些服務(wù)。

　　根據知道創(chuàng )宇公司持續在線(xiàn)監測情況來(lái)看，并非所有受到該漏洞威脅的公司都認識到了這一危害性，部分涉及機構盲目樂(lè )觀(guān)。有的只是暫停SSL服務(wù)，仍繼續提高其主要功能，比如微信；有的為規避風(fēng)險，干脆暫停網(wǎng)站全部服務(wù)；還有的沒(méi)有采取任何措施。

　　鐘晨鳴說(shuō)，這個(gè)漏洞實(shí)際上出現于2012年，至今兩年多，誰(shuí)也不知道是否已經(jīng)有黑客利用漏洞獲取了用戶(hù)資料；而且由于該漏洞即使被入侵也不會(huì )在服務(wù)器日志中留下痕跡，所以目前還沒(méi)有辦法確認哪些服務(wù)器被入侵，也就沒(méi)法定位損失、確認泄漏信息，從而通知用戶(hù)進(jìn)行補救。

　　存在短板:我國網(wǎng)絡(luò )安全應急能力差

　　作為國內頂尖的安全專(zhuān)家，方興指出，此次發(fā)現的漏洞事實(shí)上是非常簡(jiǎn)單的一個(gè)漏洞，并不是因為算法被攻破，而是由于程序員在設計時(shí)沒(méi)有做長(cháng)度檢查而產(chǎn)生的內在泄露漏洞?！皫缀跛谐绦騿T都很容易犯的錯誤，即使微軟的高手，開(kāi)源的精英也容易犯?！背绦騿T的一時(shí)疏忽引發(fā)了蝴蝶效應，帶來(lái)了全球網(wǎng)絡(luò )安全危機。

　　“SSL是廣泛使用的數據傳輸加密協(xié)議，這個(gè)漏洞是大地震級別的?！敝袊嬎銠C學(xué)會(huì )信息安全專(zhuān)業(yè)委員會(huì )主任嚴明說(shuō)。

　　分析人士指出，具體受害的用戶(hù)數字要到后面才能得以統計，當前應動(dòng)員所有應急機制做出緊急反應，并通報如何盡量減少威脅。建議大型站點(diǎn)需要換證，重新配置一些重要程序和配置里的密碼串。國家應急中心直到9日才開(kāi)始聯(lián)動(dòng)。

　　該中心一名專(zhuān)家坦陳，從2003年，國家應急中心就試圖建立漏洞觸發(fā)的相關(guān)應急工作和能力，但是這一領(lǐng)域的工作到現在也不夠清晰，需要新的能力架構設計。

　　我們該怎樣自保

　　怎么辦?

　　少用網(wǎng)銀 謹防失財

　　對一般網(wǎng)民來(lái)說(shuō)，如果訪(fǎng)問(wèn)了受影響的網(wǎng)站，用戶(hù)無(wú)法采取任何自保措施。受影響的網(wǎng)站的管理員需要升級軟件，才能為用戶(hù)提供適當的保護。

　　不過(guò)，一旦受影響的網(wǎng)站修復了這一問(wèn)題，用戶(hù)便可以通過(guò)修改密碼來(lái)保護自己。攻擊者或許已經(jīng)攔截了用戶(hù)的密碼，但用戶(hù)無(wú)法知道自己的密碼是否已被他人竊取。

　　所以，對于個(gè)人用戶(hù)而言，目前最迫切的就是：改密碼。此外，在未確認安全的情況下，盡量少用網(wǎng)銀，密切觀(guān)注你的財務(wù)狀況。