OpenSSL安全協(xié)議存在漏洞危及網(wǎng)絡用戶數(shù)據(jù)安全

4月9日消息，據(jù)華爾街報道，許多網(wǎng)站使用的OpenSSL安全協(xié)議存在漏洞，可能導致大量隱藏數(shù)據(jù)被盜取。據(jù)谷歌和網(wǎng)絡安全公司Codenomicon的研究人員透露，OpenSSL加密代碼中一種名為Heartbleed的漏洞存在已有兩年之久。三分之二的活躍網(wǎng)站均在使用這種存在缺陷的加密協(xié)議。他們指出可使用的補丁，網(wǎng)站可用以自我保護以及維護用戶的安全。

包括主頁和郵箱在內(nèi)的數(shù)個雅虎網(wǎng)站也存在這種安全漏洞。雅虎發(fā)言人今日表示，“我們的團隊已經(jīng)成功地完成雅虎各個網(wǎng)站的修復。”

一些零售商表示，在雅虎修復漏洞之前，他們能夠獲得雅虎的用戶名和密碼。

網(wǎng)絡安全公司Qualys的一名研究員伊萬？瑞斯提克（Ivan Ristic）創(chuàng)建了一種測試網(wǎng)站是否存在Heartbleed漏洞的工具。工具發(fā)布當天，他的網(wǎng)頁訪問量增加了7倍。他估計，使用SSL的服務器中，有30%存在漏洞。

經(jīng)瑞斯提克的工具測試顯示，許多大型網(wǎng)站，如谷歌、亞馬遜、eBay等網(wǎng)站較安全，未受到這種漏洞的影響。

越來越多的網(wǎng)站使用加密代碼來保護如用戶名、密碼和信用卡號等數(shù)據(jù)，這能夠防止黑客通過網(wǎng)絡盜取個人信息。

這種加密協(xié)議被稱為SSL（Secure Sockets Layer安全套接層）或TLS（Transport Layer Security Protocol安全傳輸層協(xié)議）。當一個網(wǎng)站使用這種安全協(xié)議，瀏覽器中的地址欄旁會出現(xiàn)掛鎖圖標。

編寫加密代碼十分復雜，所以很多網(wǎng)站使用一種開源的免費安全協(xié)議，即OpenSSL.如亞馬遜，該公司在其網(wǎng)站上建議，云計算服務Amazon Web Services的用戶在為網(wǎng)頁加密時使用OpenSSL.但有關OpenSSL漏洞的消息爆出后，亞馬遜對記者的置評請求未立即回應。

OpenSSL存在的缺陷在于，使用某些最新OpenSSL版本的Web服務器會存儲一些不受內(nèi)存保護的數(shù)據(jù)。黑客可以獲取這些數(shù)據(jù)，重建有關用戶或密鑰的信息，進而監(jiān)視過去或?qū)淼募用軘?shù)據(jù)。

一名研究員表示，“任何人都可以利用這種漏洞在互聯(lián)網(wǎng)上獲取數(shù)據(jù)，而且場地不限，我可以在自己的辦公室，也可以在其他國家實現(xiàn)數(shù)據(jù)的盜用。”

OpenSSL漏洞的消息一出，許多網(wǎng)站措手不及，未能及時采取補救措施。

旨在保護互聯(lián)網(wǎng)用戶身份的Tor Project公司總裁羅杰·丁格勒戴（Roger Dingledine）表示， “接下來幾天各個網(wǎng)站開始著手修復漏洞，為了確保個人信息或隱私不被竊取，這段時間最好完全不用互聯(lián)網(wǎng)。”（

生成海報

免責聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網(wǎng)站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關文章源頭核實，溝通刪除相關內(nèi)容或斷開相關鏈接。