关于 HeartBleed 安全漏洞的 2 张漫画

openSSL 的「滴血之心」漏洞造成的恐慌几乎席卷全球，国内外白帽子黑帽子疯狂刷数据刷积分，各大网站的安全部门也是遇到了从未有过的危机。虽然大家都讨论的很热烈，但对于用户们来说，只关心一件事情：我们支付宝里的钱还安全么。最近大家关注的“OpenSSL漏洞”是怎么回事？这个漏洞在英文中称为Heartbleed（可暂译为“心泣”），可能导致各种各样的信息泄露，但其实它的原理出奇地简单。不信，请看著名网络漫画xkcd的这 2张图解：HeartBleed Bug 的工作原理：还不明白的同学：所谓heartbleed的说法，源自于「心跳检测」，就是用户发通过起TSL 加密链接，发起 Client Hello询问，测服务器是否正常在线干活（形象的比喻就是心脏脉搏），服务器发回Server hello，表明正常建立SSL通信。每次询问都会附加一个询问的字符长度pad length，bug来了，如果这个pad length大于实际的长度，服务器还是会返回同样规模的字符信息，于是造成了内存里信息的越界访问……Heartbleed 的详细介绍：请点这里
Heartbleed 的下载地址：请点这里相关阅读：OpenSSL TLS心跳读远程信息泄露漏洞（CVE-2014-0160） http://www.linuxidc.com/Linux/2014-04/99741.htmOpenSSL严重bug允许攻击者读取64k内存，Debian半小时修复 http://www.linuxidc.com/Linux/2014-04/99737.htmOpenSSL “heartbleed” 的安全漏洞 http://www.linuxidc.com/Linux/2014-04/99706.htm通过OpenSSL提供FTP+SSL/TLS认证功能，并实现安全数据传输 http://www.linuxidc.com/Linux/2013-05/84986.htmOpenSSL Heartbleed漏洞修复内幕：NSA 已经利用 Heartbleed 漏洞多年相关资讯 Heartbleed漏洞 Heartbleed

VENOM：比 Heartbleed 还危险的虚（05/14/2015 18:39:42）
OpenSSL承诺出问题时提前通知开发（09/11/2014 17:07:54）
仍有超过30万台服务器没有修复（06/23/2014 06:47:33）

Google工程师Neel Mehta如何发现（10/12/2014 19:32:07）
揭开Heartbleed神话网络安全从容（09/02/2014 05:44:11）
新的OpenSSL分支未包含Heartbleed （06/09/2014 16:26:44）

本文评论查看全部评论（0）

评论声明

尊重网上道德，遵守中华人民共和国的各项有关法律法规
承担一切因您的行为而直接或间接导致的民事或刑事法律责任
本站管理人员有权保留或删除其管辖留言中的任意内容