心脏出血?这是什么漏洞?
最近几天,只要打开电脑,无论是浏览器还是安全管家,都会向你推送一个很紧急的安全通知:大部分网站“心脏出血”,请密切注意您的重要网站的信息安全。光是“心脏出血”这个标题就让人不明觉厉,那到底什么是“心脏出血”?要搞懂”心脏出血“的真正原因,必须要了解一点网站安全方面的常识。
什么是SSL:
SSL是一种流行的加密技术,可以保护用户通过互联网传输的隐私信息。当用户访问Gmail.com等安全网站时,就会在URL地址旁看到一个“锁”,表明你在该网站上的通讯信息都被加密。这个“锁”表明,第三方无法读取你与该网站之间的任何通讯信息。在后台,通过SSL加密的数据只有接收者才能解密。很多大型网络服务都已经默认利用这项技术加密数据。如今,谷歌、雅虎和Facebook都在使用SSL默认对其网站和网络服务进行加密。
什么是openSSL?
openSSL是一个开源的ssl安全软件包。也就是说,SSL是一种技术,一种原理和概念,可以有效的进行数据加密,而openSSL则是基于SSL加密原理开发的一个可以运行的开源软件包,是一种真正可以在电脑上运行的程序。网站的开发者要使用SSL加密技术,就会选择在自己的网站中导入openSSL软件包,实现网站数据加密。
openSSL漏洞工作原理:
SSL标准包含一个心跳选项,允许SSL连接一端的电脑发出一条简短的信息,确认另一端的电脑仍然在线,并获取反馈。研究人员发现,可以通过巧妙的手段发出恶意心跳信息,欺骗另一端的电脑泄露机密信息。受影响的电脑可能会因此而被骗,并发送服务器内存中的信息。如果一个黑客向一个社交网站的服务器发送这种恶意心跳信息,那么该社交网站的服务器很可能被欺骗,然后将服务器中用户的账号密码发送给该黑客,造成了用户信息的泄露。
我们该怎么保护自己?
1、在QQ聊天、处理邮件、上网浏览时,不要点击不受信任的https开头的链接,避免攻击导致个人重要信息泄露;
2、对重要服务,尽可能开通手证或动态密码,比如支付宝、邮箱等,登录重要服务,不仅仅需要验证用户名密码,最好绑定手机,加手机验证码登录。这样就算黑客拿到帐户密码,登录还有另一道门槛;
3、不要急着改密码,应该先确认一下自己使用的网站有没有修复该漏洞(网址:http://fish.ijinshan.com/checkopenssl/check),确认该网站已经修复漏洞之后,再修改密码,并且不同的网站设置不同的密码,以提高安全性。
”心脏出血“漏洞的影响目前还在发酵,但是只要我们自己密切关注事态进展,并采取有效地措施,一定可以保护好自己的信息的。
附(目前知名网站的修复情况):
已修复漏洞的知名网站
- 银行
- 中国工商银行 www.icbc.com.cn
- 招商银行 www.cmbchina.com
- 中国农业银行 www.abchina.com
- 广东发展银行 ebank.gdb.com.cn
- 中国银行 www.boc.cn
- 深圳发展银行 bank.pingan.com
- 中国建设银行 www.ccb.cn
- 兴业银行 www.cib.com.cn
- 交通银行 www.bankcomm.com
- 上海浦东发展银行 www.spdb.com.cn
- 中信实业银行 www.ecitic.com
- 上海银行 www.bankofshanghai.com.cn
- 中国光大银行 www.cebbank.com
- 宁波市商业银行 www.nbcb.com.cn
- 中国民生银行 www.cmbc.com.cn
- 电商
- 淘宝 www.taobao.com
- 支付宝 www.alipay.com
- 京东 www.jd.com
- 卓越 www.amazon.cn
- 易迅 www.yixun.com
- 新蛋 www.newegg.cn
- 门户
- 新浪 www.sina.com.cn
- 网易 www.163.com
- 雅虎 www.yahoo.com
- 腾讯 www.qq.com
未修复漏洞的网站
- aoyama-platinum.com
- bookstores.umn.edu
- www3.startsupport.com
- cvvshop.lv
- gdx.gestamp.com
- 555wang.com
- c.108198.com
- 210.237.109.229
- jc3.guiguyun.cn
- snowsummit.tv
- websterandsons.filecamp.com
- 220.248.244.12
- oa1.zrjt.com.cn
- catwebedi.com
- esupplier.amat.com
- trac.syous.co.jp
- 218.106.152.82
- liji-ccms.fenxibao.com
- elearning2.danahertm.com
- sellerpartner.dxmallcloud.com