在過去的幾天里，Heartbleed漏洞已經(jīng)對(duì)安全行業(yè)和Web服務(wù)造成了很大影響。但是，與事故相關(guān)的程序員卻表示，這是一場意外。

[[111482]]

Heartbleed是一個(gè)影響OpenSSL 1.0.1和 1.0.2的加密漏洞，1.0.1在網(wǎng)頁和大量流行的Web服務(wù)上使用得很多。從理論上說，該漏洞是用于查看跨HTTP，顯著安全的信息，通常在瀏覽器的地址欄中，用一個(gè)小小的鎖來表示。

存在安全風(fēng)險(xiǎn)的數(shù)據(jù)，包括密碼，密鑰，詳細(xì)的金融信息，個(gè)人身份信息等——都可以讓黑客潛入，刪除數(shù)據(jù)，而且不留痕跡。

Bruce Schneier在其安全博客上寫道：“本質(zhì)上，一個(gè)黑客一次可以從一臺(tái)服務(wù)器抓取到64K內(nèi)存。這種攻擊不留痕跡，而且可以重復(fù)多次。這意味著，內(nèi)存中的任何信息——SSL密鑰，用戶密鑰——都不安全。 而且你不得不假設(shè)一切信息都被偷取了。是一切信息。所以這是災(zāi)難性的。如果要從1到10來評(píng)級(jí)的話，可以將此評(píng)為11級(jí)。”

OpenSSL程序員Robin Seggelmann告訴《悉尼早報(bào)》的Herald，稱不安全的代碼會(huì)呆滯Heartbleed漏洞，此OpenSSL項(xiàng)目中，他提交的且由其他程序員檢查過的一些地方就出現(xiàn)了這種情況。

這些代碼被額外的編程方式提煉過了，目的是加密協(xié)議，然后由上百萬的網(wǎng)站來使用，就是這些看著挺靠譜的代碼出現(xiàn)了漏洞，原因是“在一個(gè)包含長度的變量上缺乏驗(yàn)證。”Seggelmann和其他檢查代碼的人都沒有注意到缺失的驗(yàn)證，因此，代碼最終從開發(fā)者手中到了加密軟件里。

這名德國軟件開發(fā)員否認(rèn)這個(gè)安全漏洞是精心安排的，他告訴公眾，OpenSSL中的這個(gè)錯(cuò)誤是“不起眼的”，但影響卻“十分嚴(yán)重。”

Seggelmann提到，有人試圖用陰謀論來解釋這個(gè)漏洞，特別是在前NSA員工斯諾登曝出全球政府的監(jiān)控行為之后。同時(shí)，他承認(rèn)，也有可能情報(bào)部門在過去兩年中已經(jīng)知曉這個(gè)漏洞，并對(duì)其進(jìn)行利用，但這個(gè)漏洞并非“有意而為。”Seggelmann稱：

“在這個(gè)案例中，這個(gè)漏洞只是新特性編寫中出現(xiàn)的編程錯(cuò)誤，不幸的是這個(gè)錯(cuò)誤出現(xiàn)在安全相關(guān)的部分。它根本不是刻意留下的漏洞，更何況，我自己以前還修復(fù)過OpenSSL漏洞，而且當(dāng)時(shí)打算貢獻(xiàn)給這個(gè)項(xiàng)目。”

許多網(wǎng)站都修復(fù)了這個(gè)安全漏洞，包括Facebook，YouTube，Tumblr，Reddit和Instagram。你可以用LastPass的Heartbleed檢查器來查看自己喜愛的Web服務(wù)是否仍然存在這個(gè)漏洞，一旦這些公司修復(fù)好漏洞，建議你最好更換一下你的服務(wù)密碼。