安全研究人员发现 OpenSSL 中存在严重漏洞,OpenSSL 是保护互联网上许多网站的加密软件库。 这对于普通用户来说意味着什么。
这里有很多技术信息和细微差别,但我们将尽力使其尽可能简单易懂。 如果您更精通技术,我强烈建议您阅读心血常见问题解答在这里,它提供了有关该问题的更多信息。
什么是 OpenSSL 和 Heartbleed?
OpenSSL 是 SSL 和 TLS 的开源实现,这两种协议可确保安全。 最近,我们发现了一个严重错误,该错误已在 OpenSSL 中存在了两年多,该错误可能使互联网上的任何人都可能泄露您发送到看似安全的网站的名称、密码和内容。 正如你可以想象的,这是一件大事。 (如果您好奇该错误是如何工作的,请查看这篇文章来自我们的姐妹网站 Gizmodo)。
哪些网站和服务受到影响?
目前已知的 Heartbleed 错误会影响运行特定版本 OpenSSL(1.0.1 到 1.0.1f)的任何站点和服务。 许多站点可能运行不易受攻击的旧版本 OpenSSL,并且许多站点可能已经更新到固定版本。 此外,并非所有站点和服务都使用 OpenSSL。 例如,1Password 通过不同的方式保护他们的信息。 LastPass 使用 OpenSSL 并且很容易受到攻击(直到今天早上),但由于您的计算机上发生了额外的加密,LastPass 表示您的数据仍然安全。
据估计,超过 66% 的网络使用 OpenSSL,因此网络的很大一部分可能容易受到攻击。 您可以使用测试某些网站这个工具,尽管它不会回答某个网站在过去的任何时候是否容易受到攻击。 你可以(更多信息如下)。
作为普通用户,我能做什么?
不幸的是,对此您无能为力。 解决此问题的唯一方法是让易受攻击的站点更新 OpenSSL 并重新颁发其安全证书。
如果可能,请尽量避免连接到易受攻击的网站和服务,直到他们通知您修复为止。 在该网站修复该错误之前,更改密码不会有任何帮助,因此在更改密码之前,请等待您喜爱的网站的确认。 如果您确实得到确认,照常。 如果某个网站不易受攻击但未发表声明,请更改您的密码,以防它们过去容易受到攻击。 毕竟,它不会受伤。更新:最后通行证让您知道要更改哪些密码以及何时更改。 Mashable 还具有要检查的服务。 惊人的!
这只是对正在发生的事情及其对您的影响的一个非常基本的概述。 就像我们说的,如果你更有技术头脑,此 Heartbleed 常见问题解答有一些有关正在发生的事情的更多技术信息。 除此之外,我们用户能做的最好的事情就是等待并保持警惕。
