昨天，關(guān)于Heartbleed漏洞的消息在網(wǎng)絡(luò)上引發(fā)了激烈的討論。這個(gè)從OpenSSL項(xiàng)目中爆出的漏洞讓攻擊者可以在多種加密傳輸?shù)木W(wǎng)絡(luò)數(shù)據(jù)中竊取用戶信息，由于OpenSSL被廣泛使用在Web服務(wù)器、郵件協(xié)議、通訊協(xié)議中，所以一時(shí)間受影響的用戶數(shù)量難以估計(jì)。

在談Heartbleed漏洞之前，我們不得不先說一下什么是OpenSSL，不過由于其和SSL有著莫大的關(guān)系而且用戶平常接觸到最多的也許就是SSL安全協(xié)議了，所以我們先從介紹SSL入手。

對于經(jīng)常在瀏覽器中使用Gmail或者QQ郵箱的用戶來說，如果你曾經(jīng)留心過就會發(fā)現(xiàn)無論是使用IE還Chrome瀏覽器，一旦轉(zhuǎn)入郵箱登錄界面，瀏覽器地址欄就會變成https開頭，而普通網(wǎng)頁基本上都是http開頭的。多出來的這個(gè)s是 安全 的縮寫，它的出現(xiàn)就表示用戶和服務(wù)器之間的通信是加密傳輸?shù)?。對于各類涉及密碼和私人信息的網(wǎng)絡(luò)產(chǎn)品來說這樣的加密顯然是非常必要的。

Https傳輸協(xié)議之所以比http安全是因?yàn)槎喑隽薙SL層，而SSL的全稱則是Secure Sockets Layer（安全套接層），它是由網(wǎng)景公司在推出首版Web瀏覽器的同時(shí)提出的一種安全協(xié)議，其目的就是為網(wǎng)絡(luò)通信提供安全及數(shù)據(jù)完整性保障，使客戶與服務(wù)器應(yīng)用之間的通信不被攻擊者竊聽。

在客戶端和服務(wù)器之間通過SSL進(jìn)行通信的過程中可能會需要公鑰、私鑰、證書等多種文件來確認(rèn)安全性，而OpenSSL套件即能實(shí)現(xiàn)SSL協(xié)議又提供了常用的密鑰、證書封裝管理功能，再加上其開源和跨平臺的特性，它自然就成了諸多開發(fā)人員的選擇。

雖然要支持SSL協(xié)議并非一定要使用OpenSSL，但由于OpenSSL已經(jīng)得到了廣泛地使用，所以Heartbleed漏洞自然也就造成了廣泛的影響。Heartbleed漏洞最先是由Codenomicon和Google Security的安全研究人員發(fā)現(xiàn)的，它讓攻擊者可以遠(yuǎn)程讀取使用OpenSSL的服務(wù)器內(nèi)存中64kb的數(shù)據(jù)。而且，只要攻擊者需要，它可以在存在漏洞的服務(wù)器中重復(fù)讀取，直到找出自己想要的數(shù)據(jù)。

雖然64kb數(shù)據(jù)聽上去并不大，但從網(wǎng)上放出的圖片中我們可以看到其中已經(jīng)足夠包含用戶名、用戶密碼以及個(gè)人信息在內(nèi)的諸多敏感信息。對應(yīng)到國內(nèi)像微信公眾號、微信網(wǎng)頁版、YY語言、淘寶、陌陌等都網(wǎng)絡(luò)服務(wù)受到了影響。

目前，OpenSSL官方已經(jīng)放出修復(fù)版本，并且國內(nèi)諸多大廠商也在第一時(shí)間迅速修補(bǔ)了漏洞。所以用戶并不用過于擔(dān)心。此外，對于心存疑慮的用戶，網(wǎng)絡(luò)上也有開發(fā)者提供了在線漏洞檢測工具，用戶可以登錄Filippo來檢測自己訪問的網(wǎng)站是否安全。

不過，雖然出問題的服務(wù)商正在逐步修復(fù)自家的服務(wù)，修復(fù)版的OpenSSL也已經(jīng)放出，但問題并沒有被完全被解決& & 由于利用Heartbleed漏洞攻擊不會留下任何日志信息，所以大多數(shù)服務(wù)商都無法統(tǒng)計(jì)到底有多少用戶數(shù)據(jù)被竊取，這自然也就為接下來的防護(hù)工作帶來了麻煩。對于用戶來說，如果你在漏洞爆發(fā)期間登錄了一些使用加密服務(wù)的站點(diǎn)并且輸入了個(gè)人重要信息，那么為了安全起見最好還是自行修改一下賬戶信息。

Heartbleed漏洞事件再次顯示出了網(wǎng)絡(luò)安全的脆弱性，當(dāng)然對于那些重視安全的廠商來說這也給了它們升級基礎(chǔ)服務(wù)、增加安全強(qiáng)度的機(jī)會。看上去這也許是這次嚴(yán)重的安全威脅帶來的為數(shù)不多的 好處 了。