- 最后登录
- 2014-4-23
- 金钱
- 96
- 注册时间
- 2014-4-20
- 阅读权限
- 30
- 帖子
- 232
- 精华
- 0
- 积分
- 328
大学生
|
KT000000 发表于 2014-4-20 11:28
你懂就来解释一下什么是heartbleed,顺便科普一下公钥和密钥的关系以及为什么黑客可以看到SSL通信的信息 ...
heartbleed就是ssl的某一个implementation(openssl)的某一个版本的某一个函数,在接受用户提供的参数时候没检查字符串的实际长度是否跟用户所提供的len值一致,所以用户可以提供一个假的长度,超过实际字符串的长度,然后服务端就傻傻的返回那个多余的string,而那个string里可能包含别的用户提交的密码、私钥等内容,而且是明文形式的。
就这么简单,所以黑客可以看到一个随机用户的密码。现在主要网站早就apply patch了,也就是说这个漏洞被补上了,但是先前黑客已经看到的密码就已经泄露了,所以每个人都需要改密码。
|
|