□消費(fèi)者應(yīng)對(duì)

網(wǎng)站修復(fù)漏洞后用戶需修改密碼

360公司技術(shù)副總裁譚曉生建議，在4月7日和8日兩天登錄過(guò)存在漏洞的網(wǎng)站的網(wǎng)友，首先需要確認(rèn)曾經(jīng)登錄的網(wǎng)站是否已經(jīng)進(jìn)行了升級(jí)修復(fù)，可看該網(wǎng)站是否發(fā)布相關(guān)的公告，也可通過(guò)360網(wǎng)站衛(wèi)士推出的OpenSSL漏洞在線檢查工具，輸入網(wǎng)址檢測(cè)網(wǎng)站是否存在該漏洞。如果相關(guān)網(wǎng)站已完成了修復(fù)，則用戶需要將使用過(guò)的用戶名、密碼等個(gè)人信息進(jìn)行修改；如果登錄過(guò)的網(wǎng)站仍然未能完成修復(fù)，“那很遺憾，用戶只有坐等對(duì)方修復(fù)。”

金山毒霸安全專家李鐵軍表示，對(duì)重要服務(wù)，要盡可能開(kāi)通手機(jī)驗(yàn)證或動(dòng)態(tài)密碼，比如支付寶、郵箱等。

“針對(duì)OpenSSL漏洞，黑客的攻擊方式是不斷發(fā)動(dòng)數(shù)據(jù)包攻擊，每次攻擊能夠從服務(wù)器內(nèi)存上得到大小為64K的數(shù)據(jù)，不過(guò)獲得的數(shù)據(jù)是零散無(wú)序的，黑客想要獲得真正有用的信息，需要把累計(jì)獲得的數(shù)據(jù)進(jìn)行整理分析，這需要一個(gè)時(shí)間過(guò)程，因此，在這兩天內(nèi)及時(shí)完成密碼修改，就不會(huì)有太大的問(wèn)題?！弊T曉生提醒說(shuō)，不過(guò)，即便網(wǎng)站完成修復(fù)，也并不意味著天下太平了，未來(lái)是否有新的危險(xiǎn)還不得而知。

此外，在網(wǎng)站漏洞修復(fù)前，不要網(wǎng)購(gòu)或網(wǎng)上支付，以免受到損失。一個(gè)密碼的使用時(shí)間不宜過(guò)長(zhǎng)，超過(guò)3個(gè)月就該換掉了。

什么是SSL？

SSL是一種流行的加密技術(shù)，可以保護(hù)用戶通過(guò)互聯(lián)網(wǎng)傳輸?shù)碾[私信息。網(wǎng)站采用此加密技術(shù)后，第三方無(wú)法讀取你與該網(wǎng)站之間的任何通訊信息。在后臺(tái)，通過(guò)SSL加密的數(shù)據(jù)只有接收者才能解密。

SSL最早在1994年由網(wǎng)景推出，1990年代以來(lái)已經(jīng)被所有主流瀏覽器采納。

什么是“心臟出血”漏洞？

SSL標(biāo)準(zhǔn)包含一個(gè)心跳選項(xiàng)，允許SSL連接一端的電腦發(fā)出一條簡(jiǎn)短的信息，確認(rèn)另一端的電腦仍然在線，并獲取反饋。研究人員發(fā)現(xiàn)，可以通過(guò)巧妙的手段發(fā)出惡意心跳信息，欺騙另一端的電腦泄露機(jī)密信息。受影響的電腦可能會(huì)因此而被騙，并發(fā)送服務(wù)器內(nèi)存中的信息。

誰(shuí)發(fā)現(xiàn)的這個(gè)問(wèn)題？

該漏洞是由Codenomicon和谷歌安全部門的研究人員獨(dú)立發(fā)現(xiàn)的。為了將影響降到最低，研究人員已經(jīng)與OpenSSL團(tuán)隊(duì)和其他關(guān)鍵的內(nèi)部人士展開(kāi)了合作，在公布該問(wèn)題前就已經(jīng)準(zhǔn)備好修復(fù)方案。