OpenSSL让软件开发行业“心脏出血”返回>>

昨晚跟一位软件开发高手谈及在业内引发剧烈反响“心脏出血”漏洞,很多人都认为此次漏洞为“地震级网络灾难”、“年度最严重安全漏洞”,但大多数普通网民却是抱着一种“不明觉厉”的旁观心态,还有人还质疑是否在夸大其词或存在商业阴谋。

OpenSSL是目前互联网上应用最广泛的安全传输方法(基于SSL即安全套接层协议),很多电商、支付类接口、社交、门户网站都在应用此协议,但在某一个版本的设计和迭代时,因软件开发人员的疏忽导致遗留下一个安全漏洞,而且,这个漏洞在长达两年的时间内没有被发现,直到最近。

心脏出血

“心脏流血”漏洞的危害很明显,它可以使不法之徒借漏洞盗取网民在特定网站的各种密码,包括网银。漏洞爆出后,产生两种后果,一是大量网站闻知立刻采取紧急修复措施;二是黑客也知道了这一消息,与网站赛跑趁机窃取信息。所谓道高一尺魔高一丈,不管网站修复的多迅速,但企业反映总是有个过程,在此过程中,很可能已经有信息失窃,更何况,还有大量安全意识差的网站没有第一时间修复漏洞。

还有一个都在担心,却无法在短期内证实的隐忧:长达两年的时间里,这个漏洞一直存在,会否有黑客早已悄悄的发现了这个漏洞,并已经采取了盗秘行动呢?

以上这几种后果,无论哪一种属实,都会在未来给网民造成严重损失,可能发生在明天,也可能发生在下个月,乃至明年,从这个角度说,对“心脏出血”保持高度警惕绝非杞人忧天。

网民的旁观与无动于衷,其实正反映出当下真实的网络安全意识现状。互联网飞速发展十几年,但从全球范围讲,危害大到足够震撼全社会的网络安全事件还一件都没有。安全是需要用户付出额外代价的,比如更换密码、记住密码就很麻烦,没有经受过切肤之痛,人们很难真正对网络安全重视起来。

这次“心脏出血”事件有可能会产生地震级的网络灾难,也有可能因为补救及时而幸运地平滑而过,但随着人们把越来越多的信息与财富放在网上,而防范意识又无法真正提高,早晚都难免会发生一起灾难性的网络安全大事件,这不是预言,这是宿命。

做好网络安全,网站有重要责任,但单靠网站单方面的升级与打补丁无济于事,网络安全更是每个人自己的事情,关注安全信息,定期安全密码,增加安全验证等等,这看起来很麻烦,但与互联网所带来便利相比,其实不算什么,就当做为享受互联网而支付的对价吧。

陕西弈聪软件信息技术股份有限公司
电话:13679229477    15029073577
陕西省西安航天基地神州四路科为城墅20栋4301