最近几天,只要打开电脑,无论是浏览器还是安全管家,都会向你推送一个很紧急的安全通知:大部分网站“心脏出血”,请密切注意您的重要网站的信息安全。光是“心脏出血”这个标题就让人不明觉厉,那到底什么是“心脏出血”?要搞懂”心脏出血“的真正原因,必须要了解一点网站安全方面的常识。
什么是SSL:
SSL是一种流行的加密技术,可以保护用户通过互联网传输的隐私信息。当用户访问Gmail.com等安全网站时,就会在URL地址旁看到一个“锁”,表明你在该网站上的通讯信息都被加密。这个“锁”表明,第三方无法读取你与该网站之间的任何通讯信息。在后台,通过SSL加密的数据只有接收者才能解密。很多大型网络服务都已经默认利用这项技术加密数据。如今,谷歌、雅虎和Facebook都在使用SSL默认对其网站和网络服务进行加密。
什么是openSSL?
openSSL是一个开源的ssl安全软件包。也就是说,SSL是一种技术,一种原理和概念,可以有效的进行数据加密,而openSSL则是基于SSL加密原理开发的一个可以运行的开源软件包,是一种真正可以在电脑上运行的程序。网站的开发者要使用SSL加密技术,就会选择在自己的网站中导入openSSL软件包,实现网站数据加密。
openSSL漏洞工作原理:
SSL标准包含一个心跳选项,允许SSL连接一端的电脑发出一条简短的信息,确认另一端的电脑仍然在线,并获取反馈。研究人员发现,可以通过巧妙的手段发出恶意心跳信息,欺骗另一端的电脑泄露机密信息。受影响的电脑可能会因此而被骗,并发送服务器内存中的信息。如果一个黑客向一个社交网站的服务器发送这种恶意心跳信息,那么该社交网站的服务器很可能被欺骗,然后将服务器中用户的账号密码发送给该黑客,造成了用户信息的泄露。
我们该怎么保护自己?
1、在QQ聊天、处理邮件、上网浏览时,不要点击不受信任的https开头的链接,避免攻击导致个人重要信息泄露;
2、对重要服务,尽可能开通手证或动态密码,比如支付宝、邮箱等,登录重要服务,不仅仅需要验证用户名密码,最好绑定手机,加手机验证码登录。这样就算黑客拿到帐户密码,登录还有另一道门槛;
3、不要急着改密码,应该先确认一下自己使用的网站有没有修复该漏洞(网址:http://fish.ijinshan.com/checkopenssl/check),确认该网站已经修复漏洞之后,再修改密码,并且不同的网站设置不同的密码,以提高安全性。
”心脏出血“漏洞的影响目前还在发酵,但是只要我们自己密切关注事态进展,并采取有效地措施,一定可以保护好自己的信息的。
附(目前知名网站的修复情况):
原文:http://www.cnblogs.com/hewenwu/p/3661769.html