Heartbleed工程师:这是一场“意外”

安全
在过去的几天里,Heartbleed漏洞已经对安全行业和Web服务造成了很大影响。但是,与事故相关的程序员却表示,这是一场意外。

在过去的几天里,Heartbleed漏洞已经对安全行业和Web服务造成了很大影响。但是,与事故相关的程序员却表示,这是一场意外。

[[111482]]

Heartbleed是一个影响OpenSSL 1.0.1和 1.0.2的加密漏洞,1.0.1在网页和大量流行的Web服务上使用得很多。从理论上说,该漏洞是用于查看跨HTTP,显著安全的信息,通常在浏览器的地址栏中,用一个小小的锁来表示。

存在安全风险的数据,包括密码,密钥,详细的金融信息,个人身份信息等——都可以让黑客潜入,删除数据,而且不留痕迹。

Bruce Schneier在其安全博客上写道:“本质上,一个黑客一次可以从一台服务器抓取到64K内存。这种攻击不留痕迹,而且可以重复多次。这意味着,内存中的任何信息——SSL密钥,用户密钥——都不安全。 而且你不得不假设一切信息都被偷取了。是一切信息。所以这是灾难性的。如果要从1到10来评级的话,可以将此评为11级。”

OpenSSL程序员Robin Seggelmann告诉《悉尼早报》的Herald,称不安全的代码会呆滞Heartbleed漏洞,此OpenSSL项目中,他提交的且由其他程序员检查过的一些地方就出现了这种情况。

这些代码被额外的编程方式提炼过了,目的是加密协议,然后由上百万的网站来使用,就是这些看着挺靠谱的代码出现了漏洞,原因是“在一个包含长度的变量上缺乏验证。”Seggelmann和其他检查代码的人都没有注意到缺失的验证,因此,代码最终从开发者手中到了加密软件里。

这名德国软件开发员否认这个安全漏洞是精心安排的,他告诉公众,OpenSSL中的这个错误是“不起眼的”,但影响却“十分严重。”

Seggelmann提到,有人试图用阴谋论来解释这个漏洞,特别是在前NSA员工斯诺登曝出全球政府的监控行为之后。同时,他承认,也有可能情报部门在过去两年中已经知晓这个漏洞,并对其进行利用,但这个漏洞并非“有意而为。”Seggelmann称:

“在这个案例中,这个漏洞只是新特性编写中出现的编程错误,不幸的是这个错误出现在安全相关的部分。它根本不是刻意留下的漏洞,更何况,我自己以前还修复过OpenSSL漏洞,而且当时打算贡献给这个项目。”

许多网站都修复了这个安全漏洞,包括Facebook,YouTube,Tumblr,Reddit和Instagram。你可以用LastPass的Heartbleed检查器来查看自己喜爱的Web服务是否仍然存在这个漏洞,一旦这些公司修复好漏洞,建议你最好更换一下你的服务密码。

责任编辑:蓝雨泪 来源: ZDNet
相关推荐

2018-09-17 16:46:17

云技术

2017-11-06 17:52:49

物联网

2017-07-10 11:41:27

人类人工智能未来

2017-12-19 17:40:36

云计算

2013-01-24 11:03:30

2022-11-06 15:56:50

2016-10-26 08:36:16

2021-08-01 22:42:57

区块链互联网技术

2021-07-06 12:27:36

混合云多云云计算

2017-03-20 19:40:29

AndroidSwipeRefres下拉刷新

2013-08-09 14:33:34

2020-02-05 09:35:41

云计算行业科技

2019-06-12 15:27:53

加密货币币市互联网

2021-04-22 14:30:20

自动驾驶特斯拉智能

2023-03-07 17:53:00

NPS调研

2023-03-20 17:43:35

ChatGPT教育

2013-10-18 13:48:04

Ubuntu消失

2011-03-08 11:42:56

2017-05-31 10:07:50

戴尔100天修行

2015-05-26 15:17:44

OpenStack
点赞
收藏

51CTO技术栈公众号