普通用户如何应对OpenSSL的Heartbleed漏洞

普通用户如何应对
Heartbleed漏洞4月9日,一个代号“
Heartbleed”(意为“心脏出血”)的重大安全漏洞日前被
曝光,它能让攻击者从服务器内存中读取包括用户名、密码和信用卡号等隐私信息在内的数据,目前已经波及大量互联网公司。
那么普通用户如何保护自己免受攻击呢?科技博客网站CNET咨询网络安全专家之后,给出了以下操作建议:1. 不要在受影响的网站上登录帐号——除非你确信该公司已经修补了这一漏洞。如果该公司没有向你通告相关进展,你可以询问他们的客服团队。一些网站(包括雅虎和OKCupid)受了影响但表示他们已经解决了全部或部分问题,你如果不放心,可以在http://filippo.io/Heartbleed/上查看各个网站安全与否,如果被标为红色就暂时不要登录。很多人的第一反应是赶快修改密码,
但是网络安全专家的建议是等到网站确认修复再说。2. 一收到网站的安全修补确认,就立即修改银行、电子邮件等敏感帐号的密码。即便你采用了两步认证(即在密码之外多一重验证信息),我们也推荐你修改密码。3. 不要不好意思联系掌握你的数据的小企业以确保个人信息安全。雅虎和
Imgur等知名公司当然知道这个问题,但是一些小企业可能还没发现它,
所以你要积极主动地维护个人信息安全。4. 密切关注未来数日内的财务报告。因为攻击者可以获取服务器内存中的信用卡信息,所以要关注银行报告中的陌生扣款。但是,即便按照上述方法操作,网页浏览活动也依然存在一定风险。据说Heartbleed甚至能影响追踪网站用户活动的浏览器Cookie,所以只访问不登录也有风险。雅虎一度受到了影响,但该公司表示雅虎主页、搜索、财经、体育、美食、科技、Flickr和Tumblr等主要产品已经“成功进行了恰当的更正”。不过雅虎的一位女发言人表示,雅虎依然在努力修复旗下的其他站点。
这不是雅虎第一次出现安全问题——今年1月,雅虎曾经由于有人企图攻击第三方数据库而不得不重设部分电子邮件用户的密码。因为社交新闻Reddit而走红的图片分享网站Imgur表示“出于安全考虑已经作废了Cookie等敏感数据,并且正在小心处理”,而约会网站OKCupid则表示“已经完全解决了问题”。Heartbleed风波过后,一大问题是互联网公司会否改变
它们的安全措施。很多大型互联网公司都已经转向了PFS(完全正向保密)技术——它能让密钥的保存时间变得很短,是未来的一个发展方向。

时间: 2014-12-30

普通用户如何应对OpenSSL的Heartbleed漏洞的相关文章

【转载】升级OpenSSL修复高危漏洞Heartbleed

背景:       OpenSSL全称为Secure Socket Layer,是Netscape所研发,利用数据加密(Encryption)作技术保障在Internet上数据传输的安全.可确保数据在网络上的传输不会被窃听及截取.       当然,OpenSSL是一个强大的密码库,我们在使用SSL协议的时候不一定非得采用OpenSSL,不过目前基本上都是用的OpenSSL,因为它更安全,使用起来也更简单.       在近期互联网安全协议OpenSSL v1.0.1到1.0.1f的密码算法库中

升级OpenSSL修复高危漏洞Heartbleed

升级OpenSSL修复高危漏洞Heartbleed 背景:          OpenSSL全称为Secure Socket Layer,是Netscape所研发,利用数据加密(Encryption)作技术保障在Internet上数据传输的安全.可确保数据在网络上的传输不会被窃听及截取.          当然,OpenSSL是一个强大的密码库,我们在使用SSL协议的时候不一定非得采用OpenSSL,不过目前基本上都是用的OpenSSL,因为它更安全,使用起来也更简单.          在近期

c语言-关于引起OpenSSL的heartbleed的问题代码

问题描述 关于引起OpenSSL的heartbleed的问题代码 void process_heartbeat(unsigned char *hbMessage){ unsigned short hbtype; unsigned int payload; unsigned char* contents; hbtype = hbMessage[0]; payload = (((unsigned int)(hbMessage[1])<<8) |(((unsigned int)(hbMessage[

OpenSSL 现高危漏洞,心脏又要大出血?

还记得那个因为"心脏出血"而一夜成名的OpenSSL协议吗?它又有漏洞了.一组负责为加密协议OpenSSL做技术支持的开发人员,发现了一个新的神秘"高危"漏洞.OpenSSL是诸如Apache和Nginx这样的开源网络服务器所使用的安全协议,这些网站占到世界上所有网站的66%.当2014年一个代号为Heartbleed的巨大安全漏洞被发现时,全世界都知道了这种少有人知的后台技术. Heartbleed很危险,因为黑客可以利用OpenSSL,通过网站和服务器窃取数据,

OpenSSL 公布高危漏洞,建议升级

OCSP状态请求延期导致无限的内存增长(CVE-2016-6304) 严重级别:高等 恶意的客户端会发送一个过大的OCSP状态请求延期.如果这个客户端不断请求重新协商,每次发送大量OCSP状态请求延期,这会使服务器的内存无限消耗.这最终会因为内存被耗尽而导致DoS攻击.使用默认配置的服务器是容易遭受攻击的,即使他们不支持OSCP.通过使用"无OCSP"配置时间选项不会受影响. 服务器使用OpenSSL 1.0.1g之前的版本并使用默认配置不会易遭受攻击,除非一个应用程序明确允许支持OC

解决Win7用户无法安装IE零日漏洞补丁问题

  微软已证实了Win7电脑存在的这个问题,在安装这个零日漏洞时部分Win7电脑会突然死机.微软解释道,这是因为这些PC没有安装升级2929437补丁包. 微软建议用户安装2964358安全升级包,即可解决这个问题,微软补充道:"用户请安装安全更新2964444而非安全更新2964358.安全更新2964444针对的便是那些没有安装2929437的用户." 目前该补丁已通过Windows Update推送,因此用户只需自动更新即可. 微软表示该补丁安装问题只出现在Win7电脑中,不会影

心血漏洞再结恶果 华夏名网遭攻击用户隐私泄露

4月9日,OpenSSL被爆出本年度最严重的安全漏洞"心脏出血"(简称"心血"漏洞),该漏洞影响了大量网站服务器,造成用户信息泄露的隐患.国内IDC服务商华夏名网成为最新被漏洞攻击的企业,导致用户隐私泄露. 今日中午,华夏名网官方发布通告,称SSL心血漏洞导致用户账号泄露. 华夏名网称,在最近几天内该公司发现有用户域名被恶意解析到境外网站,导致用户网站被劫持.该公司技术人员分析系统日志,发现导致漏洞的原因可能是该公司4月7日升级openssl版本修复"心血

“心脏出血”漏洞可导致密码泄露

10日,安全人员又发现了Heartbleed漏洞的踪迹,利用该漏洞的攻击者可获取用户密码,并诱使用户访问伪造的网站. FreeBuf 百科 Heartbleed漏洞(CVE-2014-0160,CNNVD-201404-073)是OpenSSL中的一个重大安全漏洞,2014年4月7号,由国外黑客曝光.该漏洞可以让攻击者获得服务器上64K内存中的数据内容.由于使用OpenSSL的源代码的网站数量巨大,因此该漏洞影响十分严重. OpenSSL是一个强大的安全套接字层密码库,包括主要的密码算法.常用的

心脏出血漏洞 Heartbleed 固定大小缓冲区分析

 Heartbleed 是来自OpenSSL的紧急安全警告:OpenSSL出现"Heartbleed"安全漏洞.这一漏洞让任何人都能读取系统的运行内存,文名称叫做"心脏出血".""击穿心脏""等.     为什么固定大小缓冲区这么流行 心脏出血漏洞是最新发现的安全问题,由长字符串导致缓冲区越界.最常见的缓冲区越界发生在如下两种条件同时满足中:     程序中一个组件A向另外一个组件B传递了一个指针,也可能同时传递长度信息   

解析OpenSSL漏洞:影响巨大 两年前已存在

什么是SSL? SSL是一种流行的加密技术,可以保护用户通过互联网传输的隐私信息.当用户访问Gmail.com等安全网站时,就会在URL地址旁看到一个"锁",表明你在该网站上的通讯信息都被加密. 这个"锁"表明,第三方无法读取你与该网站之间的任何通讯信息.在后台,通过SSL加密的数据只有接收者才能解密.如果不法分子监听了用户的对话,也只能看到一串随机字符串,而无法了解电子邮件.Facebook帖子.信用卡账号或其他隐私信息的具体内容. SSL最早在1994年由网景推