阿里云優(yōu)惠券 先領券再下單

A5站長網(www.xj-100.cn)4月9日消息，昨日安全協(xié)議OpenSSL爆出本年度最嚴重的安全漏洞。此漏洞被命名為“Heartbleed”。利用該漏洞，黑客坐在自己家里電腦前，就可以實時獲取到約30%https開頭網址的用戶登錄賬號密碼，包括大批網銀、購物網站、電子郵件等。

據了解OpenSSL是為網絡通信提供安全及數據完整性的一種安全協(xié)議，作為一個基于密碼學的安全開發(fā)包主要囊括了密碼算法、常用的密鑰和證書封裝管理功能以及SSL協(xié)議，目前正在各大網銀、在線支付、電商網站、門戶網站、電子郵件等重要網站上廣泛使用。HeartBeat漏洞能夠泄露服務器內存中的內容，而這其中包含了一些最敏感的數據，例如用戶名、密碼和信用卡號等隱私數據。此外，攻擊者可以獲得服務器數字密鑰的拷貝，從而模仿這些服務器，或是對用戶通過服務器的通信進行解密。

發(fā)現該漏洞的研究人員指出，當今最熱門的兩大網絡服務器Apache和nginx都使用OpenSSL?？傮w來看，這兩種服務器約占全球網站總數的三分之二。SSL還被用在其他互聯網軟件中，比如桌面電子郵件客戶端和聊天軟件。這一信息安全漏洞尤為嚴重。如果希望修復這一漏洞，那么網站將被迫進行大幅調整，此外任何使用OpenSSL的用戶都必須修改密碼，因為這些密碼可能已被竊取。由于越來越多人依賴在線服務，并在多個網站中重復使用同一密碼，因此這將帶來大問題。

而針對于此次的OpenSSL漏洞，烏云創(chuàng)始人方小頓在接受新浪科技采訪時說，OpenSSl實質與服務器有關，很多網站在建站的過程中未及時跟進版本的升級從而導致漏洞的的出現。一般情況下，普通http協(xié)議訪問網站時，用戶信息安全不受OpenSSL的影響。SSL大多運用于電商網站、網銀以及在線支付領域， 因為在涉及到資金安全及個人隱私等敏感內容的網頁，服務器一般都會強制使用https協(xié)議。

被此次漏洞波及的電商企業(yè)紛紛表示未受到影響，或已經修復處理完畢。阿里安全回應稱，關于OpenSSL某些版本存在基于基礎協(xié)議的通用漏洞，阿里各網站已經在第一時間進行了修復處理，目前已經處理完畢，包括淘寶、天貓、支付寶等各大網站都確認可以放心使用。當當網表示，目前并未收到任何有關此漏洞的信息，客服也未接到相關投訴，具體細節(jié)還需與技術進行了解。而淘寶方面表示，針對OpenSSl的問題，淘寶網已經在第一時間進行了處理和修復，目前已經處理完畢，支付寶則稱并未受到影響。另外，京東相關負責人表示，系統(tǒng)已全面排查并升級，可以避免這次漏洞的侵襲。

對于此次漏洞專家建議相關網站進行版本升級，而用戶如果訪問了受影響的網站，用戶無法采取任何自保措施則需要要更改密碼!

相關閱讀：

詳解OpenSSL重大漏洞：誰會受影響?如何解決?

OpenSSL漏洞波及電商和網銀 專家提醒及時修復

解析OpenSSL漏洞：影響巨大 兩年前已存在

OpenSSL重大漏洞曝光：影響雅虎等多家網站

OpenSSL曝重大安全漏洞 可致網購支付密碼泄露

申請創(chuàng)業(yè)報道，分享創(chuàng)業(yè)好點子。點擊此處，共同探討創(chuàng)業(yè)新機遇！