从技术的角度上解释下这个心脏流血这个问题:
你可能注意到很多网址中都以https开始,比如:https://www.google.com.sg.https代表安全的http(S代表安全).http和https都是网络通信的标准协议,https比http采用了加密机制,在看不到的地方保护了网络安全.现在我来解释下加密机制和心脏流血BUG给我们的影响.
心脏流血BUG是互联网中的核弹,影响了包括google,雅虎和亚马逊等网络巨头,而且可能泄露极为重要的信息--私钥.
假设个故事解释下这个问题:
有个*bay网站,采用了https的技术,生成了一对钥匙:公钥和私钥.私钥存在*bay中,只有*bay知道;公钥发给需要登录*bay的普通用户.*bay通过第三方认证机构CA注册,获得证书安全的认证.通过这个认证,CA发布了证书和私钥.
在*bay发给证书的时候,我们知道这个公钥是*bay发的,因为这是CA告诉我们的.然后我们通过这个公钥(证书)加密数据给*bay,*bay通过私钥解密数据(事实上,钥匙消耗了网民的带宽和资源,所以在通信中采用了更短的钥匙--会话钥匙,公钥加密,私钥解密).在*bay发给我们数据的时候,通过私钥进行了签名,验证了*bay的身份(*bay不可抵赖).
这个BUG可以让攻击者非法地获取服务器的部分缓存,可以读取到私钥和用户信息(运气不好也可能是垃圾).一旦私钥被解密了,攻击者可以功过私钥解密用户的通信数据.
大多数linux服务器版本都采用了OpenSSL库,而linux在互联网公司中广泛使用,特别是银行,金融和其他高性能计算中心.所以肯定的是这个BUG风险很高.
建议管理员将SSL升级至最新版本.而普通用户近期减少登录网银等https加密的网站,降低信息泄露的可能.
原文:http://www.pixelstech.net/article/index.php?id=1397101269
1645
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
