» 核弹级漏洞爆出，互联网公司不眠夜，网民们还蒙在鼓里
    OpenSSL曝重大安全漏洞 可致网购支付密码泄露
    
    新浪科技讯 4月8日晚间消息，安全协议OpenSSL今日爆出本年度最严重的安全漏洞。此漏洞在黑客社区中被命名为“心脏出血”，利用该漏洞，黑客坐在自己家里电脑前，就可以实时获取到约30%https开头网址的用户登录账号密码，包括大批网银、购物网站、电子邮件等。
    
    OpenSSL是为网络通信提供安全及数据完整性的一种安全协议，囊括了主要的密码算法、常用的密钥和证书封装管理功能以及SSL协议，目前正在各大网银、在线支付、电商网站、门户网站、电子邮件等重要网站上广泛使用。
    
    360安全专家石晓虹介绍说，OpenSSL此漏洞堪称网络核弹，网银、网购、网上支付、邮箱等众多网站受其影响。无论用户电脑多么安全，只要网站使用了存在漏洞的OpenSSL版本，用户登录该网站时就可能被黑客实时监控到登录账号和密码。
    
    此次漏洞的成因是OpenSSL Heartbleed模块存在一个BUG，当攻击者构造一个特殊的数据包，满足用户心跳包中无法提供足够多的数据会导致memcpy把SSLv3记录之后的数据直接输出，该漏洞导致攻击者可以远程读取存在漏洞版本的openssl服务器内存中长大64K的数据。
    
    据了解，今天下午，大量网站已开始紧急修复此OpenSSL高危漏洞，但是修复此漏洞普遍需要半个小时到一个小时时间，大型网站修复时间会更长一些。(爱文)
    
    新浪连接:http://tech.sina.com.cn/i/2014-04-08/22249305763.shtml
    
    核弹级漏洞爆出，互联网公司不眠夜，网民们还蒙在鼓里
    
    知乎链接:http://daily.zhihu.com/story/3823890?utm_campaign=comment_share&utm_medium=iOS&utm_source=sina
    
    
    我还没看..只是突然看到了转过来看看有没有大神讨论一下
    

网友评论2014-04-09 16:52

    那还不用网银支付买下东西压压惊
    

网友评论2014-04-09 16:54

    昨天这帖子就没几人回复!
    

网友评论2014-04-09 16:55

    还好我公司项目没用https
    

网友评论2014-04-09 16:55

    Reply to Reply Post by 远扬 (2014-04-09 16:54)
    
    我搜了一下关键词 OpenSSL 居然没搜到帖子 ..
    

网友评论2014-04-09 17:00

    淘宝昨天下午似乎就"补"上这bug了。
    我不确定，昨天某发了个检测这的链接，我试了一下某宝。
    

网友评论2014-04-09 17:04

    还有这漏洞，懂的人也也不说明白在什么情况下用户会泄露自己的账号，密码以及验证信息。
    就Tm只会让人瞎猜!
    

网友评论2014-04-09 17:48

    昨天就在水区见到预警贴了。。。
    

网友评论2014-04-09 17:50

    Reply Post by 远扬 (2014-04-09 17:04):
    
    还有这漏洞，懂的人也也不说明白在什么情况下用户会泄露自己的账号，密码以及验证信息。
    就Tm只会让人瞎猜!
    
    服务器的漏洞，和你本地的环境没有关系，只要你近期登录过有漏洞的网站，就有可能泄密。
    

网友评论2014-04-09 17:54

    内存会泄漏64k的数据，可能包括cookie，明文密码等……淘宝京东数字等等都中枪了，昨晚各种通宵。
    当然黑产们也忙了一晚上。
    

网友评论2014-04-09 17:57

    据说爆出漏洞的是OpenSSL几年前的版本
    现在用的都更新过了 没这个问题,....
    

网友评论2014-04-09 17:59

    什么样的用户会有危险呢？？
    
    最近一个月没有登陆网银没有网购会有危险不？
    

网友评论2014-04-09 18:01

    Reply to Reply Post by 我只是一马甲 (2014-04-09 17:59)
    不会
    

网友评论2014-04-09 18:02

    哪个程序员写的？不做合法性判断和校验么？
    

网友评论2014-04-09 18:03

    天天登陆的人会有危险么
    

网友评论2014-04-09 18:06

    Reply to Reply Post by 逍遥恋灵 (2014-04-09 17:57)
    
    反了，两年以前的OpenSSL 1.0.0系列和0.9.8系列不受影响，最新的1.0.1系列知道昨天才更新到1.0.1g修复这个漏洞
    

网友评论2014-04-09 18:26

    就算知道了支付宝密码，我这边电脑上安装了证书认证和短信确认，他也奈何不了吧
    

网友评论2014-04-09 18:39

    幸好公司用的是1.0.0的。不然那么多客户升级起来要命了。
    

网友评论2014-04-09 18:46

    Reply Post by 徐安息 (2014-04-09 16:55):
    
    我搜了一下关键词 OpenSSL 居然没搜到帖子 ..
    我昨天就发过了
    

网友评论2014-04-09 18:50

    Reply to Reply Post by 徐安息 (2014-04-09 16:55)
    
    你这个帖子用openssl也搜不到