在大量网站使用的基本加密工具之一中存在安全缺陷,它可能会影响您。

只是为了安全,您应该更改密码。他们都是。

更新4/9:在您在网站上更改密码之前,请先检查它是否易于侦听。在知道这是安全的之前,请勿更改密码。

缺陷通过适当的恐怖名称“Heartbled”,它会影响openssl,一个由潜在的数据加密库 - 超过三分之二的网站。

以上:恐怖的虫子的徽标。

图像

简而言之,错误意味着攻击者可以“倾听”这些网站之间的通信和访问它们的浏览器。

将显示在浏览器中的“锁定”图标表示您与安全网站通信是浏览器正在使用SSL的指示。如果它与使用相对最近版本的OpenSSL版本的网站这样做,则您的数据可能会受到损害。

缺陷存在于已经使用的Openssl大约两年内,没有人知道它 - 无论如何,无论如何 - 直到几天前都没有人合法。从那以后,发现该错误的安全研究人员已经通知了一些主要受影响的网站以及负责openssl的组织已经发布了修复程序。他们还发布了一个信息网站,在heldbleed.com。这意味着主要的网站应该很快解决,如果他们尚未 - 但鉴于错误的普及是普遍的,可能是在受影响的版本完全退出之前的几周,月,甚至几年。

“考虑到长时间的曝光,易于剥削和攻击留下没有痕迹,应该认真对待这种曝光,”在Heldled.com上写道。

如果任何恶意人士在昨天首次被广泛宣传之前知道该错误,他们就可以使用它来窥探,只要两年来暂时安全的浏览器 - 服务器通信 - 由于2011年12月出现了第一个易受攻击的openssl版本。这意味着坏人可能已经有了密码。

至少有一个主要的服务,雅虎所有的Tumblr已经建议其客户改变密码。

今天早期发布到Github的列表列出了大量站点,该网站易于攻击的exploit,包括Yahoo.com,Stackoverflow.com,Outbrain.com,Okcupid.com,SteamCommunity.com,Slate.com,EntrepreneUr.com , 还有很多。此后,许多网站可能已经修复。

根据Beartbleed网站,由CodeNoMicon的一支安全工程师团队以及谷歌安全的Neel Mehta发现,谁是第一个向OpenSSL团队向Openssl团队报告的。

有关Heartbleed的更多信息,请查看电线的消费者导向的底漆和边缘的技术解释。