1. 程式人生 > >Heartbleed bug:OpenSSL的程式設計師到底犯了什麼錯誤?

Heartbleed bug:OpenSSL的程式設計師到底犯了什麼錯誤?

今年4月份最受關注的安全漏洞毫無疑問是 Hearbleed,這個openSSL 的「滴血之心」漏洞造成的恐慌幾乎席捲全球,國內外白帽子黑帽子瘋狂刷資料刷積分,各大網站的安全部門也是遇到了從未有過的危機。

如何修復? 作為一般使用者會直接或間接收到影響,在此有如下安全建議:

  • 更新系統,截至本文撰寫時,你的發行版應該已經推送安全更新了。
  • 別忘記你的遠端主機!包括 VPS 及 IaaS 級別的虛擬化方案,PaaS 及更高的不用擔心。
  • 更改可能受影響的網站密碼,包括 Instagram、Flickr、Box、Dropbox、GitHub 及 IFTTT 等群眾喜聞樂見且已經確認收影響的站點。歡迎讀者朋友分享受到影響的國內服務商的列表。

雖然大家都討論的很熱 烈,大家或許更想知道openSSL的程式設計師到底犯了什麼錯誤?好在有 xkcd這樣的geek網站,用最最通俗易懂的方式,向大家展示了這個漏洞的原理和可愛之處,一起看看吧:

Heartbleed bug