当前位置: 首页>>亚洲小说图片在线 >>Heartbleed如何让整个互联网岌岌可危?

Heartbleed如何让整个互联网岌岌可危?

添加时间:    


本文来源于我们合作伙伴的档案

{{BIZOBJ(video:4883)}}

亲爱的互联网用户,现在您可能已经听说过Heartbleed的bug。希望你已经改变了你的密码。你可能想知道一个小小的缺陷是如何使整个Web面临风险的。这是发生了什么事。

大部分互联网都依赖免费的志愿者创建的代码。在这种情况下,这个bug在一个名为OpenSSL的加密库中找到,这是一个由兼职工作的四个人运行的项目。这个已有15年历史的软件几乎无处不在,确保了大约三分之二的加密互联网连接。

简而言之,有五十万个网站使用OpenSSL创建的代码进行加密。您可能听说过几个:受影响的网站包括Google,Yahoo,OKCupid,Instagram和TurboTax。

那么是什么导致了这个问题呢?那么,连接系统会定期进行通信,以确保他们的对方仍在线。这被称为心跳,就像医院里的监视器发出的脉动跳动一样。

心跳包含两件事:1)少量信息,2)表示发送多少信息的数字。一台电脑会发送随机数据,比如说16千字节,并告诉其他人应该得到的结果。

接收计算机将作出响应,确认号码并将接收到的数据发回。这就是两台电脑如何知道对方仍在身边。

这就是问题出现的地方。在OpenSSL中,接收计算机只查看数字,而不查看实际的数据量。当它响应时,它返回的数据与贴在原始消息上的数字相匹配。

这通常不会成为问题,因为心跳会自动将数字与要发送的数据进行匹配。但如果黑客操纵心跳发送虚假号码,可能会造成麻烦。例如,如果黑客发送了一个由16千字节数据组成的心跳,但是告诉接收计算机发送了32位数据,计算机就会发送32位数据。它会通过从自己的存储器中获取随机数据来弥补差异。

该数据可能包含密码,信用卡号码和各种敏感信息。当然,这些不太可能是您的电脑随机选择的东西,但随着时间的推移 - 随着心跳一再重复 - 黑客可能会堆积大量信息,然后他们可能会搜索模式来识别可利用的材料。

没有人真正知道黑客是否知道Heartbleed的缺陷。它已经存在了两年左右,所以如果恶意操作者认识到了这个bug,几乎每个人的在线状态都可能面临风险。另一方面,如果发现它的工程师是第一个知道它的存在的人,那么你可能会很清楚。

本文来自于我们的合作伙伴 National Journal 的档案。

随机推荐

网站导航 福利地图