一组安全研究人员昨天透露,巨大的“Heartbleed”缺陷已经在系统管理员中引起了真正的骚动,要求尽快修补他们的服务器。因为,显然,没有人愿意因为 Twitter 的在线服务安全性差而被指责。雅虎也遭遇了同样的情况,它遭到了专门从事网络安全的公司 Fox-IT 的黑客攻击。此外,证明利用这个缺陷并不那么复杂。此后,雅虎更新了其服务器。
我们能够通过 Heartbleed 漏洞窃取雅虎用户名和密码。我们博客中的审查示例:https://t.co/iBPqitjAFa
— 罗纳德·普林斯 (@cryptoron)8 艾薇儿 2014
要了解您使用的在线服务是否安全,很简单:只需进行测试即可。一些开发人员已经创建了定制的协议分析器来检测可能的漏洞。意大利人 Filippo Valsorda 创建了该页面filippo.io/Heartbleed。只需输入 URL 即可查明关联服务器是否易受攻击。立陶宛公司Possible也创建了一个分析工具(可能.lv/tools/hb/)。在漏洞评估方面稍微全面一些。最后,法国公司Qualys还将Heartbeat漏洞测试集成到其分析工具中SSL服务器测试。这对网站的 SSL 安全性进行了全面检查。
网络巨头——谷歌、Facebook、Twitter、亚马逊……——都受到保护。法国网络也反应良好。我们测试了银行、电子商务和消息传递领域的一系列法国网站。全部已修补。干得好。
另请阅读:
财政部如何监视其员工的网络流量,于 11/12/2013
