4月8日晚，一個(gè)名為“heartbleed”(心臟出血)協(xié)議級(jí)漏洞爆發(fā)，互聯(lián)網(wǎng)世界進(jìn)入一個(gè)探尋與反探尋，黑客和白帽信息安全專家們斗快、斗智的一晚。

　　什么是OPENSSL?

　　OPENSSL是為網(wǎng)絡(luò)通信提供安全及數(shù)據(jù)完整性的一種安全協(xié)議，囊括了主要的密碼算法、常用的密鑰和證書封裝管理功能以及SSL協(xié)議，并提供了豐富的應(yīng)用程序供測(cè)試或其它目的使用。

　　一般而言，網(wǎng)站通過(guò)http(超文本傳輸協(xié)議)實(shí)現(xiàn)瀏覽器和互聯(lián)網(wǎng)之間的信息互通，但對(duì)于一些涉及個(gè)人賬戶數(shù)據(jù)的網(wǎng)站，則會(huì)采用https，這其中的S即是指SSL。增加用戶的加密/身份驗(yàn)證層，是目前互聯(lián)網(wǎng)上使用較為廣泛的敏感信息加密方法，廣泛應(yīng)用于各類電子商務(wù)購(gòu)物平臺(tái)、社交網(wǎng)絡(luò)、第三方在線支付、網(wǎng)絡(luò)銀行、電子郵件等。

　　OPENSSL漏洞爆發(fā)的危害

　　作為互聯(lián)網(wǎng)上被廣泛使用的用戶信息安全鎖，OPENSSL漏洞的爆發(fā)可以讓特定版本的OpenSSL(OpenSSL 1.01系列版本)成為無(wú)需鑰匙即可開啟的廢鎖，利用漏洞，攻擊者可以獲得服務(wù)器上64K內(nèi)存中的數(shù)據(jù)內(nèi)容。這部分?jǐn)?shù)據(jù)中，可能存有安全證書、用戶名與密碼、聊天工具的消息、電子郵件以及重要的商業(yè)文檔等數(shù)據(jù)。雖然64K數(shù)據(jù)量并不大，但如果黑客有耐心地多次通過(guò)漏洞搜尋、拼湊信息，包括明文密碼在內(nèi)的許多密鑰數(shù)據(jù)都可以被獲取。有相關(guān)網(wǎng)絡(luò)安全行業(yè)人士在知乎上透露，通過(guò)這個(gè)漏洞在某著名電商網(wǎng)站上嘗試讀取數(shù)據(jù)，在讀取200次后，獲得了40多個(gè)用戶名、7個(gè)密碼，用這些密碼，他成功地登錄了該網(wǎng)站。在業(yè)內(nèi)人士對(duì)國(guó)內(nèi)的服務(wù)器進(jìn)行體檢之后，雅虎門戶主頁(yè)、微信公眾號(hào)、微信網(wǎng)頁(yè)版、YY語(yǔ)音、淘寶、網(wǎng)銀、陌陌、社交、門戶網(wǎng)站等都被證明存在此漏洞。

　　網(wǎng)民如何保護(hù)個(gè)人信息安全

　　截止發(fā)稿，國(guó)內(nèi)大型互聯(lián)網(wǎng)公司，如BAT、各大門戶網(wǎng)站等都已經(jīng)對(duì)OpenSSL進(jìn)行了升級(jí)修復(fù)，銀行業(yè)也發(fā)表聲明兩日內(nèi)即可修復(fù)該漏洞。但鑒于該漏洞始于2012年，且無(wú)法追溯服務(wù)器上的密鑰內(nèi)容是否已被黑客查詢，因而建議廣大網(wǎng)友在近期進(jìn)行網(wǎng)絡(luò)交易時(shí)注意如下幾點(diǎn)：

　　1、在確認(rèn)有關(guān)網(wǎng)站安全之前，不要使用網(wǎng)銀、電子支付和電商購(gòu)物等功能；

　　2、已確認(rèn)安全的網(wǎng)站，及時(shí)進(jìn)行相關(guān)密碼的修改，同時(shí)更換網(wǎng)站的安全證書；

　　3、不管此次漏洞的危害持續(xù)性有多久，互聯(lián)網(wǎng)作為依靠代碼連接起來(lái)的世界，只要網(wǎng)絡(luò)世界還在持續(xù)發(fā)展，網(wǎng)絡(luò)信息安全就是一個(gè)需要長(zhǎng)期關(guān)注的話題。作為網(wǎng)民自身，也應(yīng)建立起保護(hù)個(gè)人信息安全的意識(shí)，定期更換密鑰、安全信息和安全證書。