国产精品福利在线观看-国产精品福利在线观看免费-国产精品福利在线观看免费不卡-国产精品福利在线观看入口-国产精品福利在线观看无码卡一-国产精品福利资

高危漏洞“心臟流血”突襲互聯網

這兩天，蚌埠女孩王曉蕙（化名）告訴記者，她在糾結到底要不要更改網站賬戶密碼。因為4月8日早上，她上淘寶網買下了心儀很久的小家電，但當天就爆出消息稱，一個名為OpenSSL的基礎網絡傳輸軟件存在重大漏洞，用戶登錄網銀、購物網站、電子郵件等，都可能會泄露賬戶密碼。

針對這個漏洞，不少計算機專家表示，用戶不用過于擔憂，這個漏洞的修復并不復雜。另外，若網站公布修復公告后，用戶應及時修改密碼，而未發布公告的網站，用戶應減少登錄，且不要急著修改密碼。

2億中國用戶受影響

4月8日，一個名為OpenSSL的軟件，被爆出存在重大漏洞，其被命名為“心臟流血”，比喻像心臟流血般重大而危急。據了解，“心臟流血”漏洞首先被谷歌研究員尼爾·梅塔發現。

黑客可以通過這個漏洞，獲取到以https開頭網址的用戶登錄賬號和密碼、cookie等一概隱私信息。而據360網站安全檢測平臺，對國內120萬家經過授權的網站掃描發現，有3萬多個網站主機受到了漏洞影響。在4月7日、4月8日期間，共計約有2億中國用戶訪問了存在漏洞的網站。

更令人緊張的是，這些網站包含了人們最常用的購物、社交等知名網站和服務。并且，這與你的電腦是否足夠安全無關，只要你登錄的網站使用了存在漏洞的OpenSSL版本，用戶登錄網站時的一些信息，就可能被伺機而動的黑客所獲取。

據稱，這一漏洞被公開后，一部分雅虎用戶數據，在一天之內遭到泄露。而360網站衛士的OpenSSL漏洞檢測平臺還發現，清華大學等幾所高校的某項網絡服務，也存在“心臟出血”漏洞。

經360網絡攻防實驗室檢測發現，全球開放443端口的主機共有40041126個，其中受OpenSSL“心臟出血”漏洞影響的主機有32335個。

隱私信息或被竊取

據了解，黑客獲取的是離內存最近的64K字節的內容，大概是六萬個字，其中很可能包含用戶隱私信息，甚至網站密鑰。

并且黑客攻擊“心臟流血”并不需要很高門檻，因為入侵代碼已經被公布。黑客只要有足夠的耐心和時間，就可以翻檢足夠多的數據，拼湊出戶主的銀行密碼、私信等敏感數據，“甚至連網站的源代碼都可能被竊取。”一位在杭州從事計算機行業多年的王姓程序員（以下簡稱王先生）表示。

網絡安全專家、南京翰海源信息技術有限公司創始人方興此前表示，通過這個漏洞，可以泄露以下四方面內容：一是私鑰，所有https站點的加密內容全能破解；二是網站用戶密碼，用戶資產如網銀隱私數據被盜��；三是服務器配置和源碼，服務器可以被攻破；四是服務器“掛掉”不能提供服務。

可能有些人會慶幸，還好那幾天我都用手機APP登錄。但360副總裁譚曉生，在接受采訪時曾表示：“手機APP用到OpenSSL軟件的占到50%，我們掃描到一萬多個問題網站。”

修改密碼要視情況而定

使用網上銀行或有U盾的用戶，其賬戶的安全會不會受到影響？相關人士表示，影響幾乎為零。

 “如果銀行使用了帶有該漏洞的OpenSSL開源軟件版本，會有一定影響。但是這個漏洞只是竊取內存中的數據，銀行的用戶密碼還有一重加密保護，一般不會在SSL服務器解密，所以也就很難拿到銀行用戶的密碼。”中國金融認證中心應用開發部總經理林峰，此前在接受采訪時解釋。

什么是SSL？“簡單地來說，SSL是一種加密協議，如果網站不采用這種加密協議的話，用戶在登錄時候的用戶名、密碼等信息，會以明文的形式進行傳輸，非常不安全。”王先生解釋說。

那我們現在是否需要去修改相關網站的密碼呢？這個得看情況，王先生建議說：“如果這個網站并未升級，那么你去登錄了，就會有一定的風險，因為你的用戶名等相關信息，都會存在網站的服務器內存上，黑客只要入侵這個服務器，對這些數據進行解碼，就可以知曉相關信息。如果這個網站已經確認升級過其OpenSSL，那么修改密碼是一種比較保險的行為。”

此外，金山毒霸安全專家李鐵軍此前也建議，盡可能開通手機驗證或動態密碼，最好綁定手機。這樣登錄重要服務時，除了需要驗證用戶名密碼，還需加手機驗證碼登錄。那么就算黑客拿到賬戶密碼，登錄還有另一道門檻。安全專家建議，一個密碼的使用時間不宜過長，超過3個月就該換一換。

縱深

登錄網站就會被竊取密碼？

事實確實如此。王先生表示，這個漏洞其實并不是這段時間才出現的，實際上它出現于2012年。至今兩年多，誰也不知道是否已經有黑客利用漏洞獲取了用戶資料。而且由于該漏洞即使被入侵，也不會在服務器日志中留下痕跡，所以目前還沒有辦法確認哪些服務器被入侵，也就沒法定位損失、確認泄露信息，從而通知用戶進行補救。不過，只有在用戶使用有漏洞的服務時，正好有人在利用監視這個漏洞，你的密碼才有可能被竊取。所以，一般用戶不用太過緊張。