新浪科技訊 4月9日中午消息,昨日�����,OpenSSL(為網(wǎng)絡通信提供安全及數(shù)據(jù)完整性的一種安全協(xié)議)被曝存在安全漏洞����。利用該漏洞���,黑客可多次盜取以https開頭網(wǎng)址的用戶登錄賬號密碼�,該漏洞波及電商網(wǎng)站�����、在線支付等領(lǐng)域���。對此����,安全專家已發(fā)布緊急預警�,提醒各大互聯(lián)網(wǎng)服務商盡快進行版本升級,修復該漏洞�。
針對此次OpenSSL漏洞,烏云創(chuàng)始人方小頓對新浪科技表示���,OpenSSL實質(zhì)與服務器有關(guān)�,很多網(wǎng)站在建站的過程中未及時跟進版本的升級從而導致漏洞的的出現(xiàn)���。一般情況下���,普通http協(xié)議訪問網(wǎng)站時��,用戶信息安全不受OpenSSL的影響����。SSL大多運用于電商網(wǎng)站���、網(wǎng)銀以及在線支付領(lǐng)域�����, 因為在涉及到資金安全及個人隱私等敏感內(nèi)容的網(wǎng)頁���,服務器一般都會強制使用https協(xié)議。
被此次漏洞波及的電商企業(yè)紛紛表示未受到影響����,或已經(jīng)修復處理完畢。阿里安全回應稱�����,關(guān)于OpenSSL某些版本存在基于基礎(chǔ)協(xié)議的通用漏洞����,阿里各網(wǎng)站已經(jīng)在第一時間進行了修復處理,目前已經(jīng)處理完畢��,包括淘寶�����、天貓���、支付寶等各大網(wǎng)站都確認可以放心使用����。
當當網(wǎng)(14.56,?1.64,?12.69%)表示����,目前并未收到任何有關(guān)此漏洞的信息,客服也未接到相關(guān)投訴����,具體細節(jié)還需與技術(shù)進行了解。而淘寶方面表示���,針對OpenSSl的問題����,淘寶網(wǎng)已經(jīng)在第一時間進行了處理和修復,目前已經(jīng)處理完畢����,支付寶則稱并未受到影響。另外�����,京東(滾動資訊)相關(guān)負責人表示����,系統(tǒng)已全面排查并升級,可以避免這次漏洞的侵襲���。
對此��,團購網(wǎng)站拉手網(wǎng)CTO官沖在接受新浪科技采訪時表示��,該漏洞對于拉手網(wǎng)沒有造成太大影響��,因為拉手網(wǎng)并未直接保存敏感信息�,并且已對網(wǎng)站版本進行了升級�。官沖同時建議用戶登陸并使用https協(xié)議的網(wǎng)頁后���,及時修改密碼�,以確保個人信息的安全。同時用戶可使用在線檢測工具���,預先查看將要訪問的https頁面有無OpenSSL heartbleed漏洞��。
此外���,據(jù)業(yè)內(nèi)人士介紹受此次漏洞波及的另一領(lǐng)域是在線支付。但網(wǎng)銀在線相關(guān)人員告訴新浪科技�����,其網(wǎng)站并未因OpenSSL漏洞而遭受太大影響�����,并且相關(guān)技術(shù)人員已經(jīng)做好技術(shù)升級��,目前網(wǎng)站運營正常���。
專家建議:
?
烏云創(chuàng)始人 方小頓
針對此漏洞�����,烏云創(chuàng)始人方小頓表示�����,OpenSSl是部署在網(wǎng)站服務器端的�����,因此這個漏洞與用戶的個人電腦安全性沒有關(guān)系�����。很多網(wǎng)站在建站的過程中未跟進版本的升級從而導致漏洞的的出現(xiàn)����。他認為,修復該漏洞并不存在技術(shù)上的困難�,而只需要幾個小時時間便可修復。因此���,方小頓建議相關(guān)網(wǎng)站進行版本升級��。
金山毒霸安全專家 李鐵軍
?
網(wǎng)站怎么辦����?
網(wǎng)站管理員可以使用這個服務檢查自己的網(wǎng)站是否存在威脅:http://filippo.io/Heartbleed/
盡快升級OpenSSL到1.0.1g
網(wǎng)民怎么辦?
1.注意觀察相關(guān)事件進展��,目前尚無法準確評估黑客利用OpenSSL漏洞獲得了多少數(shù)據(jù)�����。
2.對重要服務����,盡可能開通手機驗證或動態(tài)密碼��,比如支付寶����、郵箱等,登錄重要服務�,不僅僅需要驗證用戶名密碼,最好綁定手機���,加手機驗證碼登錄����。這樣就算黑客拿到帳戶密碼,登錄還有另一道門檻�。
3.如果隨著事件進展,可能受累及的網(wǎng)絡服務在增加或更明確����,建議用戶修改重要服務的登錄密碼。安全專家的建議是��,一個密碼的使用時間不宜過長�����,超過3個月就該換掉了���。
