首先，這種漏洞攜帶一些有意思的攻擊手段，當(dāng)然，對于那些不幸中招的人產(chǎn)生了嚴(yán)重影響。盡管如此，為了使攻擊者能夠利用此漏洞，黑客需要使用其他漏洞來實現(xiàn)MITM訪問。當(dāng)然，如果用戶擁有本地子網(wǎng)接入或者黑客通過DNS欺騙的方式的話都可以輕松進(jìn)行MITM訪問，但是這些要求本身已經(jīng)增加了黑客利用漏洞的難度。

現(xiàn)在，讓我們回顧一下有關(guān)該漏洞的五種傳言：

傳言一：用戶不要再信任在線銀行和網(wǎng)絡(luò)零售商提供的HTTPS鏈接。

糾正： 用戶不需要對這一點感到恐慌。因為黑客如果要利用這一漏洞，首先要有能力執(zhí)行MITM攻擊。值得一提的是，許多金融機(jī)構(gòu)有一套方案來確保你是否是他們的客戶。因此，雖然在使用互聯(lián)網(wǎng)的時候要時刻保持安全意識和警惕心，但是也不需要比以往感到恐懼。

傳言二：TLS加密不起作用。

糾正：該漏洞并沒有賦予黑客讀取加密數(shù)據(jù)的能力。它僅允許明文數(shù)據(jù)被插入加密對話中。TLS提供的加密強度沒有受到此漏洞的影響。

傳言三：OpenSSL發(fā)布了針對該漏洞的補丁。

糾正：OpenSSL團(tuán)體 發(fā)布了暫緩措施，它可以讓管理員關(guān)閉SSL重啟對話。對于我們來說，有必要清楚意識到該措施很大程度上未經(jīng)測試，它對用戶，應(yīng)用程序和其他服務(wù)器的影響還是個未知數(shù)。任何考慮實施此措施的人，應(yīng)該在非生產(chǎn)系統(tǒng)中先對它進(jìn)行充分測試。

傳言四：黑客正積極利用這一漏洞。

糾正： 目前為止，并沒有證據(jù)能證明這一點。許多供應(yīng)商和其他感興趣的團(tuán)體在謀求合作，并對該漏洞的使用進(jìn)行積極監(jiān)控。注意，由于攻擊代碼已經(jīng)被公布，所以這一傳言有可能成為事實。

言五：這一漏洞僅影響HTTP數(shù)據(jù)。

糾正：它并非是HTTP特有的，而是針對TLS的漏洞。很多協(xié)議

以各種方式部署了TLS?，F(xiàn)在，證實了在HTTP中存在漏洞

但是對于其他使用TLS的協(xié)議的漏洞調(diào)查仍在進(jìn)行中，因此，我們有理由相信其他協(xié)議中也可能出現(xiàn)這一漏洞。

雖然這是一個很嚴(yán)重的漏洞，但并非傳言中那么可怕?，F(xiàn)在，很多供應(yīng)商不止對各種攻擊手段進(jìn)行評估，而且也從回歸測試和互用性測試兩方面進(jìn)行高質(zhì)量補丁的開發(fā)。這不是個簡單的過程，因為有很多種TLS部署，而且可能有數(shù)千種產(chǎn)品使用了其中一個或多個部署。請注意，這是一個TLS漏洞，而不但只關(guān)乎HTTP。其他協(xié)議也可能受到影響。

ICASI(互聯(lián)網(wǎng)安全改進(jìn)行業(yè)聯(lián)盟)一直以來都在此事件中扮演著管理者和協(xié)調(diào)員的角色。許多非聯(lián)盟供應(yīng)商也牽涉其中，而ICASI歡迎所有有著直接利害關(guān)系的廠商和個人加入。

ICASI于11月11日發(fā)布了一項建議，建議的核心部分指向了暫緩措施和偵查配件。除此之外，我們還想向大家推薦一款由Leviathan Security研發(fā)的工具，它可以在任何Windows系統(tǒng)上運行。該工具可以查探，記錄并阻止?jié)撛诘脑囂叫怨簟uniper Networks可以為這款工具提供技術(shù)支持。

購買了IDP等設(shè)備的Juniper客戶也具備偵查配件。Juniper客戶有兩個可用的攻擊對象。

SSL：Key Renegotiation——可用來偵查那些有可能是試探性攻擊的關(guān)鍵對話重啟。注意，在對策略設(shè)定任何攔截規(guī)則前要先測試自己的特定環(huán)境。

HTTP：Request Injection——只有加載私有SSL密鑰的Juniper設(shè)備才可用來檢查SSL流量。如果用戶的IDP版本在 4.1以上，就可以用它來識別并攔截攻擊。