普通用户如何应对OpenSSL的Heartbleed漏洞

普通用户如何应对
Heartbleed漏洞4月9日,一个代号“
Heartbleed”(意为“心脏出血”)的重大安全漏洞日前被
曝光,它能让攻击者从服务器内存中读取包括用户名、密码和信用卡号等隐私信息在内的数据,目前已经波及大量互联网公司。
那么普通用户如何保护自己免受攻击呢?科技博客网站CNET咨询网络安全专家之后,给出了以下操作建议:1. 不要在受影响的网站上登录帐号——除非你确信该公司已经修补了这一漏洞。如果该公司没有向你通告相关进展,你可以询问他们的客服团队。一些网站(包括雅虎和OKCupid)受了影响但表示他们已经解决了全部或部分问题,你如果不放心,可以在http://filippo.io/Heartbleed/上查看各个网站安全与否,如果被标为红色就暂时不要登录。很多人的第一反应是赶快修改密码,
但是网络安全专家的建议是等到网站确认修复再说。2. 一收到网站的安全修补确认,就立即修改银行、电子邮件等敏感帐号的密码。即便你采用了两步认证(即在密码之外多一重验证信息),我们也推荐你修改密码。3. 不要不好意思联系掌握你的数据的小企业以确保个人信息安全。雅虎和
Imgur等知名公司当然知道这个问题,但是一些小企业可能还没发现它,
所以你要积极主动地维护个人信息安全。4. 密切关注未来数日内的财务报告。因为攻击者可以获取服务器内存中的信用卡信息,所以要关注银行报告中的陌生扣款。但是,即便按照上述方法操作,网页浏览活动也依然存在一定风险。据说Heartbleed甚至能影响追踪网站用户活动的浏览器Cookie,所以只访问不登录也有风险。雅虎一度受到了影响,但该公司表示雅虎主页、搜索、财经、体育、美食、科技、Flickr和Tumblr等主要产品已经“成功进行了恰当的更正”。不过雅虎的一位女发言人表示,雅虎依然在努力修复旗下的其他站点。
这不是雅虎第一次出现安全问题——今年1月,雅虎曾经由于有人企图攻击第三方数据库而不得不重设部分电子邮件用户的密码。因为社交新闻Reddit而走红的图片分享网站Imgur表示“出于安全考虑已经作废了Cookie等敏感数据,并且正在小心处理”,而约会网站OKCupid则表示“已经完全解决了问题”。Heartbleed风波过后,一大问题是互联网公司会否改变
它们的安全措施。很多大型互联网公司都已经转向了PFS(完全正向保密)技术——它能让密钥的保存时间变得很短,是未来的一个发展方向。

时间: 2014-12-30

普通用户如何应对OpenSSL的Heartbleed漏洞的相关文章

【转载】升级OpenSSL修复高危漏洞Heartbleed

背景:       OpenSSL全称为Secure Socket Layer,是Netscape所研发,利用数据加密(Encryption)作技术保障在Internet上数据传输的安全.可确保数据在网络上的传输不会被窃听及截取.       当然,OpenSSL是一个强大的密码库,我们在使用SSL协议的时候不一定非得采用OpenSSL,不过目前基本上都是用的OpenSSL,因为它更安全,使用起来也更简单.       在近期互联网安全协议OpenSSL v1.0.1到1.0.1f的密码算法库中

升级OpenSSL修复高危漏洞Heartbleed

升级OpenSSL修复高危漏洞Heartbleed 背景:          OpenSSL全称为Secure Socket Layer,是Netscape所研发,利用数据加密(Encryption)作技术保障在Internet上数据传输的安全.可确保数据在网络上的传输不会被窃听及截取.          当然,OpenSSL是一个强大的密码库,我们在使用SSL协议的时候不一定非得采用OpenSSL,不过目前基本上都是用的OpenSSL,因为它更安全,使用起来也更简单.          在近期

Google 工程师如何发现 Heartbleed 漏洞

Google工程师Neel Mehta最早发现了 OpenSSL的Heartbleed漏洞,他现在首次披露了发现的经过.Mehta说,他当时正逐行的检查OpenSSL的SSL堆栈,他决定检查SSL堆栈的主要原因是今年早些时候发现了多个加密漏洞,其中一个是GoToFail,另一个是GnuTLS的缓冲溢出bug. Mehta说,SSL堆栈漏洞发现的速度在加快,他很好奇SSL堆栈的安全现状,所以想去了解一下.他没有预计到主流媒体会对该bug产生如此大的热情, 认为另一个同时发现该漏洞的安全公司的营销手

Centos 6.5下yum升级、修复OpenSSL heartbleed漏洞

这两天OpenSSL Heart Bleed 漏洞搞得人心惶惶,请看这篇文章:分析.诊断OpenSSL Heartbleed Bug,目前可知的能够利用此漏洞的版本是: OpenSSL 1.0.1 through 1.0.1f (inclusive) are vulnerable OpenSSL 1.0.1g is NOT vulnerable OpenSSL 1.0.0 branch is NOT vulnerable OpenSSL 0.9.8 branch is NOT vulnerabl

openssl升级防止 Heartbleed 漏洞问题

贴下知乎的回答: 另外有一个测试网站是否受到影响的服务:Test your server for Heartbleed (CVE-2014-0160) (现在长期503) 根 据页面上的介绍,这个 OpenSSL 的实现漏洞可以在握手阶段获取到主机上的敏感内存数据,甚至包括 SSL 证书私钥!漏洞2012年出现,昨天(2014年4月7日)才刚刚被修复.想问一下知乎上的信息安全专业人士们,这个漏洞的可利用性和影响范围究竟有多 大?如果是,那么这个曾今的 0day 是否被广泛利用? 很严重的漏洞,涉

OpenSSL曝安全漏洞

近日,互联网又抛出重量级"炸弹"--OpenSSL曝出名为"Heartbleed(心脏出血)"的漏洞,黑客可利用该漏洞盗取https开头网址的账号密码信息,严重威胁网络购物.支付.社交等领域.所幸该漏洞一经曝出,就得到了大多数网站的及时补救.安全专家建议广大网友在此漏洞得到修复前,谨慎登录https网站和与支付相关操作,并在修复漏洞的第一时间及时修改密码. "影响至少两亿中国网民" "'心脏出血'漏洞可致数亿网民密码泄露!利用该漏洞,黑

Heartbleed 漏洞万能扫描工具出炉

虽然主流网站宣布已经修复心脏出血(heartbleed)漏洞,但实际上对于企业和普通网民来说心脏出血漏洞的警报远未解除.根据FireEye 的报告,目前超过1.5亿从Google应用商店下载的Android应用依然存在OpenSSL心脏出血漏洞.甚至在Google修补Android操 作系统漏洞后,也并不能消除Android应用的心脏出血漏洞. 面对无处不在的"心脏出血"漏洞,企业和个人用户迫切需要一个功能能够全面扫描网络环境中的各种设备和应用.近日CrowdStrike就推出了这么一

新数据证实黑客能通过Heartbleed漏洞窃取私钥

网络服务公司Cloudflare周六报道称,与之前的怀疑相反,黑客可以通过被称为"Heartbleed"的重大漏洞从有漏洞的网站中获取私钥. 就在昨天,Cloudflare发布了初步的调查结果称,通过Heartbleed获得重要的密钥以解密套接层即使可能也十分困难.为了肯定这一结论,Cloudflare发起了"Heartbleed挑战赛"以查看其他人利用漏洞可能导致的后果.公司搭建了一个nginx服务器,服务器上运行着包含Heartbleed漏洞版本的OpenSSL

开源是Heartbleed漏洞的罪魁祸首?

关于Heartbleed漏洞的消息在网络上引发了激烈的讨论.这个从OpenSSL项目中爆出的漏洞让攻击者可以在多种加密传输的网络数据中窃取用户信息,由于OpenSSL被广泛使用在Web服务器.邮件协议.通讯协议中,所以一时间受影响的用户数量难以估计. Heartbleed漏洞事件再次显示出了网络安全的脆弱性,当然对于那些重视安全的厂商来说这也给了它们升级基础服务.增加安全强度的机会.看上去这也许是这次严重的安全威胁带来的为数不多的"好处"了. 那么下面我们来看看OpenSSL和开源之间