OpenSSL曝重大安全漏洞到底是什么漏洞?对我们这些略懂不懂的非技术人士有什么影响?

我看媒体网站上说的好像很严重的样子,真的是所有的密码都会被曝光么?

推荐  (0) | 13人关注关注
7个答案
56 0

Philip_Tzou果壳网系统工程师,维基百科志愿者

2014-04-09 12:16

简而言之,就是在漏洞未修补的网站上,HTTPS反而比HTTP更不安全。至少HTTP不会莫名其妙地把你的敏感数据(如密码)发给第三方,但(存在漏洞的)HTTPS有一定的概率会将你的敏感数据发出去。

此外,(存在漏洞的)HTTPS还可能把服务器的私钥泄漏出去,对于普通用户来说,就是你访问的这个HTTPS网站,中间可能有人在窃听,而且你和服务器都不知道:这就是传说中的“中间人攻击”。但用HTTP的也别高兴太早,(存在漏洞的)HTTPS只是“有一定概率”因私钥泄漏被中间人攻击,HTTP则是随时都可以被中间人攻击——只要别人愿意且手上有资源(和你在同一个内网或者拥有运营商资源)。

45 0

渚熏软件工程师,网路安全从业者

2014-04-09 15:06

有这个漏洞的时候,黑客想获取特定人的密码还是需要看脸的,因为漏洞的效果是泄露服务器 内存中随机64k字节的内容给攻击者,所以你的密码应该说是有几率泄露。
而且因为是内存中的数据,所以如果漏洞存在,听闻有漏洞赶紧上去就改密码的反而会更容易引起泄露。

当然上面说的是直接泄露的情况,如果黑客借此漏洞获取了服务器系统、数据库等管理员的密码,迂回一下得到你的密码这样还是很容易的。

如果说普通人的话,建议支付宝、网银等比较敏感的地方把xx令、xx宝、xx手机验证等安全手段都给绑上,起码不至于因为一个密码泄露而导致人民币进别人的口袋。其他的网站也没什么可做的,没修复之前尽量不要登陆的好。
=====================
对了还要补充一点,出问题的是openssl这个组件的问题,所以目前只有使用openssl的服务器软件才有可能会有问题。因此,如果iis之流没有用openssl的服务器应该没有这种问题。并不是所有使用https的网站都会有问题,不能把过错归罪到ssl协议上。

3 0

MasterYoda游走在ECE与CS之间的码农

2014-04-10 04:56

OpenSSL在进行一个memcpy的时候没有检查长度,导致把一段。。算是随机的内存数据返回给攻击者

1 0

梦碎了IT 数学专业 软件控

2014-04-09 20:15
支持者: NanaMipa

这个问题参照知乎上面的这个问题
OpenSSL 的 Heartbleed 漏洞的影响到底有多少?
里面说的很详细

0 0

卢瑟傅里叶想要改变世界,上帝没给我源代码

2014-04-10 13:57

HTTP 连接不加密,相当于一条暴露在空气中的河流,任何中间人都可以从中“取一瓢饮”。
HTTPS 对传输层加密从客户端到服务器之间整条 TCP 连接都加密了,相当于一条封闭的水管,正常情况下无法窥见水管内部的状态。
既然整条 TCP 连接都加密,就不再需要对连接中传输的数据再次加密了。也就是说,从应用层角度来讲,数据都是明文的。
对用户数据敏感的网站,在传输用户数据(例如登录验证)的时候一般都会使用 HTTPS 连接而不是 HTTP 连接。

现在水管破了个洞(比喻不是很恰当,因为泄露点不是在传输链路上,而是在服务器内存里),黑客就可以从洞里看到所有流经的水,这里面可能包括你的用户名和密码。

这并不能说明:

  1. HTTP 比 HTTPS 安全。因为 HTTP 压根就不加密,所以不会被用来传输敏感信息罢了。所谓“干得多,错得多”。
  2. SSL 协议不安全。这个BUG 是 2011 年 OpenSSL 项目某次代码提交没有正确处理缓冲区溢出造成的,和协议本身的逻辑无关。
0 0

你可以看下合天网安实验室《安全协议与分析》课程的实验七,里面有这个漏洞的真实环境,看看你的密码是怎么被偷走的。http://erange.heetian.com/cour.do?w=1&c=C172.19.104.182014040815461700001

查看更多

添加回答

登录 后回答问题,你也可以用以下帐号直接登录

相关问答

关于我们 加入果壳 媒体报道 帮助中心 果壳活动 家长监控 免责声明 联系我们 移动版 移动应用

©果壳网    京ICP证100430号    京网文[2018] 6282-492号    新出发京零字东150005号     京公网安备11010502007133号

违法和不良信息举报邮箱:jubao@guokr.com    举报电话:18612934101    网上有害信息举报专区    儿童色情信息举报专区