OpenSSL安全協(xié)議存在漏洞危及網(wǎng)絡(luò)用戶數(shù)據(jù)安全

4月9日消息，據(jù)華爾街報(bào)道，許多網(wǎng)站使用的OpenSSL安全協(xié)議存在漏洞，可能導(dǎo)致大量隱藏?cái)?shù)據(jù)被盜取。據(jù)谷歌和網(wǎng)絡(luò)安全公司Codenomicon的研究人員透露，OpenSSL加密代碼中一種名為Heartbleed的漏洞存在已有兩年之久。三分之二的活躍網(wǎng)站均在使用這種存在缺陷的加密協(xié)議。他們指出可使用的補(bǔ)丁，網(wǎng)站可用以自我保護(hù)以及維護(hù)用戶的安全。

包括主頁(yè)和郵箱在內(nèi)的數(shù)個(gè)雅虎網(wǎng)站也存在這種安全漏洞。雅虎發(fā)言人今日表示，“我們的團(tuán)隊(duì)已經(jīng)成功地完成雅虎各個(gè)網(wǎng)站的修復(fù)。”

一些零售商表示，在雅虎修復(fù)漏洞之前，他們能夠獲得雅虎的用戶名和密碼。

網(wǎng)絡(luò)安全公司Qualys的一名研究員伊萬(wàn)？瑞斯提克（Ivan Ristic）創(chuàng)建了一種測(cè)試網(wǎng)站是否存在Heartbleed漏洞的工具。工具發(fā)布當(dāng)天，他的網(wǎng)頁(yè)訪問(wèn)量增加了7倍。他估計(jì)，使用SSL的服務(wù)器中，有30%存在漏洞。

經(jīng)瑞斯提克的工具測(cè)試顯示，許多大型網(wǎng)站，如谷歌、亞馬遜、eBay等網(wǎng)站較安全，未受到這種漏洞的影響。

越來(lái)越多的網(wǎng)站使用加密代碼來(lái)保護(hù)如用戶名、密碼和信用卡號(hào)等數(shù)據(jù)，這能夠防止黑客通過(guò)網(wǎng)絡(luò)盜取個(gè)人信息。

這種加密協(xié)議被稱為SSL（Secure Sockets Layer安全套接層）或TLS（Transport Layer Security Protocol安全傳輸層協(xié)議）。當(dāng)一個(gè)網(wǎng)站使用這種安全協(xié)議，瀏覽器中的地址欄旁會(huì)出現(xiàn)掛鎖圖標(biāo)。

編寫加密代碼十分復(fù)雜，所以很多網(wǎng)站使用一種開(kāi)源的免費(fèi)安全協(xié)議，即OpenSSL.如亞馬遜，該公司在其網(wǎng)站上建議，云計(jì)算服務(wù)Amazon Web Services的用戶在為網(wǎng)頁(yè)加密時(shí)使用OpenSSL.但有關(guān)OpenSSL漏洞的消息爆出后，亞馬遜對(duì)記者的置評(píng)請(qǐng)求未立即回應(yīng)。

OpenSSL存在的缺陷在于，使用某些最新OpenSSL版本的Web服務(wù)器會(huì)存儲(chǔ)一些不受內(nèi)存保護(hù)的數(shù)據(jù)。黑客可以獲取這些數(shù)據(jù)，重建有關(guān)用戶或密鑰的信息，進(jìn)而監(jiān)視過(guò)去或?qū)?lái)的加密數(shù)據(jù)。

一名研究員表示，“任何人都可以利用這種漏洞在互聯(lián)網(wǎng)上獲取數(shù)據(jù)，而且場(chǎng)地不限，我可以在自己的辦公室，也可以在其他國(guó)家實(shí)現(xiàn)數(shù)據(jù)的盜用。”

OpenSSL漏洞的消息一出，許多網(wǎng)站措手不及，未能及時(shí)采取補(bǔ)救措施。

旨在保護(hù)互聯(lián)網(wǎng)用戶身份的Tor Project公司總裁羅杰·丁格勒戴（Roger Dingledine）表示， “接下來(lái)幾天各個(gè)網(wǎng)站開(kāi)始著手修復(fù)漏洞，為了確保個(gè)人信息或隱私不被竊取，這段時(shí)間最好完全不用互聯(lián)網(wǎng)。”（

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說(shuō)明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。