OpenSSL漏洞是什么
多数SSL加密的网站都使用名为OpenSSL的开源软件包。本周一,研究人员宣布这款软件存在严重漏洞,可能导致用户的通讯信息暴露给监听者。OpenSSL漏洞大约两年前就已经存在这一缺陷。
工作原理:SSL标准包含一个心跳选项,允许SSL连接一端的电脑发出一条简短的信息,确认另一端的电脑仍然在线,并获取反馈。研究人员发现,可以通过巧妙的手段发出恶意心跳信息,欺骗另一端的电脑泄露机密信息。受影响的电脑可能会因此而被骗,并发送服务器内存中的信息。
4月9日中午消息,昨日,OpenSSL漏洞(为网络通信提供安全及数据完整性的一种安全协议)被爆存在安全漏洞。利用该漏洞,黑客可多次盗取以https开头网址的用户登录账号密码,该漏洞波及电商网站、在线支付等领域。对此,安全专家已发布紧急预警,提醒各大互联网服务商尽快进行版本升级,修复该漏洞。
针对此次OpenSSL漏洞,乌云创始人方小顿对新浪科技表示,OpenSSl实质与服务器有关,很多网站在建站的过程中未及时跟进版本的升级从而导致漏洞的的出现。一般情况下,普通http协议访问网站时,用户信息安全不受OpenSSL的影响。SSL大多运用于电商网站、网银以及在线支付领域,因为在涉及到资金安全及个人隐私等敏感内容的网页,服务器一般都会强制使用https协议。
被此次漏洞波及的电商企业纷纷表示未受到影响,或已经修复处理完毕。阿里安全回应称,关于OpenSSL漏洞某些版本存在基于基础协议的通用漏洞,阿里各网站已经在第一时间进行了修复处理,目前已经处理完毕,包括淘宝、天猫、支付宝等各大网站都确认可以放心使用。
【火车票网上预订就上:pay.huigongju.com】
