普通用户应该对心脏出血有多偏执?

信息安全 openssl 心血来潮
2021-09-06 22:37:15

从早上开始,关于 Heartbleed 的问题就一直出现在热门问题列表中,从安全堆栈交换到 android
我已经阅读了很多,其中大部分是技术性的,从服务器管理员的角度来看,对于普通用户来说很难理解
这是我发现的一些简单的

  1. https://serverfault.com/questions/587329/heartbleed-what-is-it-and-what-are-options-to-mitigate-it
  2. OpenSSL TLS 心跳 (Heartbleed) 漏洞利用究竟是如何工作的?
  3. 最终用户应该如何处理 Heartbleed?
  4. heartbleed 漏洞对客户端的影响是否严重?

我不了解技术细节,所以作为一个普通的 Windows 用户,我应该有多偏执,如果我使用的服务易受攻击,我应该(或可以)做些什么?

例如,上面第 4 项的公认答案是关于易受攻击的系统:

普通客户的相关资料:

Windows(所有版本):可能不受影响(使用 SChannel/SSPI),但应注意个别应用程序中的 TLS 实现。例如,Cygwin 用户应该更新他们的 OpenSSL 包。

OSX 和 iOS(所有版本):可能不受影响。SANS 通过说“OS X Mavericks 没有可用的补丁”暗示它可能容易受到攻击,但其他人指出 OSX 10.9 附带 OpenSSL 0.9.8y,这不受影响。苹果表示:“OS X 中的 OpenSSL 库已被弃用,OpenSSL 从未作为 iOS 的一部分提供”

Chrome(除 Android 外的所有平台):可能不受影响(使用 NSS)

Android 上的 Chrome:4.1.1 可能会受到影响(使用 OpenSSL)。来源。4.1.2 应该不受影响,因为它是在禁用心跳的情况下编译的。来源。Mozilla 产品(例如 Firefox、Thunderbird、SeaMonkey、Fennec):可能不受影响,都使用 NSS

因此,如果我是一个普通的 Windows 用户,使用 chrome 作为默认浏览器,我不会受到攻击吗?我不认为这是真的,所以我可能在这里没有得到任何东西。该页面显示,雅虎是已知易受攻击的最大网络服务提供商(也包括 stackexchange)。因此,如果我有一个 Yahoo 电子邮件或 stackexchange 帐户,这是否意味着当我输入密码时,我的密码在我的计算机端容易受到攻击?在我上面引用的答案中,它说 Windows 和 Chrome 可能不受影响,因为它们不使用 openssl。那么,当使用显然使用 openssl 的 Yahoo 和 stackexchange 时,这如何使我容易受到攻击?有什么我能做的吗?如果是,我能做些什么?立即更改我的密码,还是等待他们联系我,然后再更改密码?

我有另一个问题。第 1 项的公认答案是这样说的:

那么,OpenSSL 中的错误代码。这是修复漏洞的提交。我不会推测这是否真的是一个错误,或者可能是代表一个坏演员溜进了一些代码。该错误于 2011 年 12 月出现,并于今天 2014 年 4 月 7 日进行了修补。

如果bug那么老,而且真的那么严重,那为什么到现在还没有做任何事情呢?

3个回答

当您在 Windows 上使用 Chrome 浏览时,您的系统不容易受到此问题的影响,但您访问和使用的大多数网站很可能容易受到攻击。

您可以做几件事:

  • 检查您访问的网站的 SSL 证书,确保它们是在 2014 年 4 月 7 日之后颁发的
  • 验证您访问的网站是否已修补或没有漏洞(这可能会有所帮助: http: //filippo.io/Heartbleed/
  • 如果他们不是易受攻击的并且证书是心脏出血后的,那么更改你的密码(以防它被泄露)

就我个人而言,我有一个名为“Certificate Patrol”的 Firefox 插件,它会在证书被替换或新证书时提醒我,这有助于提醒我检查它们是否安全。我还有识别服务器上运行的软件的插件,所以我知道它们是否运行不受 Heartbleed 影响的服务器(例如 Windows Server,或 OpenSSL 0.9.8)

如果bug那么老,而且真的那么严重,那为什么到现在还没有做任何事情呢?

直到现在什么都没做,因为直到现在没人知道有问题。不幸的是,它在没有引起注意的情况下溜进来了——在大型且有很多贡献者的项目中,会发生错误。不幸的是,它花了这么长时间没有被注意到和修复。

我将从下往上开始:)

该错误已经存在了一段时间,但直到最近才被发现。根据定义,错误并不明显——它们是错误。当它最终发现时,人们拼命修复它。

您链接到的答案表明恶意 Web 服务器很难攻击个人计算机,因为许多 Web 浏览器(这是您用来建立 TLS 连接的最常见的东西)不容易受到攻击。

但是,当连接到易受攻击的服务器时,您仍然容易受到攻击。示例:您参加了一个在线论坛。攻击者使用 HTTPS 连接到同一台服务器,并使用此攻击从服务器内存中窃取您的会话 cookie。现在攻击者可以在该论坛上冒充您。

除了不登录任何东西之外,此时非技术性最终用户几乎无能为力。由系统管理员和工程师来修补他们的服务器。如果他们提出建议,您可以按照他们的建议提供最好的帮助。

修补服务后,正常登录并更改密码。我希望许多网站在修补后都会强制更改密码。

Chrome 和 Firefox 不使用 OpenSSL 库(它使用 Mozilla 的 NSS),因此作为客户端的您不会受到直接影响。如果您访问的站点(通过 HTTP 或 HTTPS)还运行侦听 HTTPS 请求使用易受攻击的OpenSSL版本,则它们可能会泄漏信息。

雅虎长期以来一直存在漏洞,但昨天已经修复。如果您昨天通过网络登录,请考虑您的密码已泄露。

那么,OpenSSL 中的错误代码。这是修复漏洞的提交。我不会推测这是否真的是一个错误,或者可能是代表一个坏演员溜进了一些代码。该错误于 2011 年 12 月出现,并于今天 2014 年 4 月 7 日进行了修补。

如果bug那么老,而且真的那么严重,那为什么到现在还没有做任何事情呢?

该错误是在当时引入的,并不意味着 OpenSSL 开发人员当时就知道该错误已被创建。

其它你可能感兴趣的问题
上一篇了解会话固定漏洞 下一篇使用 OAuth/OpenID 登录是否也容易受到心脏出血的影响?