最近暴出的Heartbleed重大漏洞，如何保护自己的隐私

KT000000

paulIoveme 发表于 2014-4-20 14:31
heartbleed就是ssl的某一个implementation（openssl）的某一个版本的某一个函数，在接受用户提供的参数时 ...

好了，既然你知道如何复制粘贴，那么在网站修复漏洞以前，你改密码有鸟用？你怎么知道你所谓的主要网站就是人家访问的网站？

paulIoveme

KT000000 发表于 2014-4-20 11:33
好了，既然你知道如何复制粘贴，那么在网站修复漏洞以前，你改密码有鸟用？你怎么知道你所谓的主要网站就 ...

敢说我这辛辛苦苦敲的一段是复制粘贴，你可真够可以的，你可以去google看能不能找到

现在还没有apply patch的网站建议永远都不要上了，太落后了。

KT000000

paulIoveme 发表于 2014-4-20 14:36
敢说我这辛辛苦苦敲的一段是复制粘贴，你可真够可以的，你可以去google看能不能找到

现在还没有apply pa ...

国内的网站没有patch的大把。另外就算patch了，还有后续工作比如revoke原先的certs，重新发布certs，你敢说这中间没有漏洞？你都没搞清楚那个设置是做什么用的，就来说“默认”有毛意义？

paulIoveme

KT000000 发表于 2014-4-20 11:41
国内的网站没有patch的大把。另外就算patch了，还有后续工作比如revoke原先的certs，重新发布certs，你敢 ...

国内没有patch的网站就属于我所说的一辈子也不需要上的网站，就算上也完全可以用一个特别简单的密码，这种垃圾网站就根本不需要去认真对待。。

你可以去yahoo，tumblr等国外的网站看看人家要求用户怎么做的，按着做就是了，人家这些网站给出的instruction当然是最专业的，你何必要自己弄一些额外的操作呢？根本没有必要啊。给你贴一个tumblr的。

Urgent security update

Bad news. A major vulnerability, known as “Heartbleed,” has been disclosed for the technology that powers encryption across the majority of the internet. That includes Tumblr.

We have no evidence of any breach and, like most networks, our team took immediate action to fix the issue.

But this still means that the little lock icon (HTTPS) we all trusted to keep our passwords, personal emails, and credit cards safe, was actually making all that private information accessible to anyone who knew about the exploit.

This might be a good day to call in sick and take some time to change your passwordseverywhere—especially your high-security services like email, file storage, and banking, which may have been compromised by this bug.

You’ll be hearing more in the news over the coming days. Take care.

KT000000

paulIoveme 发表于 2014-4-20 14:45
国内没有patch的网站就属于我所说的一辈子也不需要上的网站，就算上也完全可以用一个特别简单的密码，这 ...

当你不明白SSL怎么玩的时候，当然觉得这是“最专业”的。按你的说法，dealmoon这种连SSL都不玩的网站你怎么还上的孜孜不倦呢？
你看到一个小锁就代表安全了么？你不知道SSL其实最关键的是你要信任交换的证书么？你不知道当证书被hijack了其实你看到的锁钥匙都已经在人家手里了么？你不知道heartbleed不仅仅是服务器端的漏洞还是客户端的漏洞么？你不知道你哪怕改了密码然后上了个sb网站没有修复漏洞然后你的密码泄漏人家可以猜测出你yahoo，google等网站的密码么如果你足够傻用一样的密码或者遵循一样的pattern？你不知道网站修复了漏洞，然后revoke了原先的证书但是旧的证书可能还能用这要看网站怎么revoke证书的么？

paulIoveme

KT000000 发表于 2014-4-20 12:02
当你不明白SSL怎么玩的时候，当然觉得这是“最专业”的。按你的说法，dealmoon这种连SSL都不玩的网站你怎 ...

你怎么就看不懂我的话呢？？我的意思当然是说那些不专业网站的密码就不用管它了，活着换一个简单的就行了。之前国内多少网站tianya之类的都大规模暴露密码的时候大家早就该改成简单密码了吧？？这些该做的事药都没做那就根本不在我需要警告的对象之内了，，这种人没救。。。
至于你所说的这些证书什么的这都是网站方面需要搞的东西跟用户无关。人家tumblr没要求用户去hrome里改什么设置就说明这些东西不需要做。我只需要知道这个就行了，我不懂ssl的具体细节我也不需要懂，技术方面的各种细节多如牛毛我有功夫都去搞明白么？我就是一个普通用户大概明白怎么回事就行了，你在我这儿显摆你知道多少细节我也不会因此就把你高看一等啊。。。

KT000000

paulIoveme 发表于 2014-4-20 15:05
你怎么就看不懂我的话呢？？我的意思当然是说那些不专业网站的密码就不用管它了，活着换一个简单的就行了 ...

你没看我怎么发帖的么？已经简单到让勾一个勾就可以了，这是指导普通用户如何操作。
你跟我JJYY半天我还以为你懂的呢。要玩密码，你有考虑过每个网站不同密码么？密码的强度呢比如字母数字特殊字符的组合？密码的长度呢？都用不一样的密码你怎么记住密码呢？用小本本记住还是写个notepad文件还是用别的什么软件？用别的软件如何保证密码安全呢？使用一定的模式怎么防止别人猜出密码呢？你怎么区分“一般网站”和“重要网站”呢？你指望广大小白都懂这个？世界就和平了。

paulIoveme

KT000000 发表于 2014-4-20 12:09
你没看我怎么发帖的么？已经简单到让勾一个勾就可以了，这是指导普通用户如何操作。
你跟我JJYY半天我还 ...

根本不需要这么复杂。密码分成三个等级：1.银行，用最复杂的。2.成熟大型国外网站和品质有一定保证的国内大型网站，yahoo、gmail、apple、amazon、tencent、baidu之类的，用较安全的，3.其他不可信任的网站，以国内网站为主。

就三个密码，不是傻子都能记住。。

KT000000

paulIoveme 发表于 2014-4-20 15:13
根本不需要这么复杂。密码分成三个等级：1.银行，用最复杂的。2.成熟大型国外网站和品质有一定保证的国内 ...

原来baidu腾讯是属于品质有一定保证的网站，懂了。一边玩去吧。

paulIoveme

KT000000 发表于 2014-4-20 12:18
原来baidu腾讯是属于品质有一定保证的网站，懂了。一边玩去吧。

baidu 腾讯当然有保证了。。你听说过这两个网站密码泄露么？
从技术实力上讲这两个网站都是一流的
哦对，还忘了一个淘宝
这都是国内最好的，跟国外比毫不寒碜（当然审美上有点低劣，但这也是适应中国国情）
你要是连着都不承认就有点自恨了

KT000000

paulIoveme 发表于 2014-4-20 15:20
baidu 腾讯当然有保证了。。你听说过这两个网站密码泄露么？
从技术实力上讲这两个网站都是一流的
哦对， ...

请蹲下自抽耳光，不客气。

paulIoveme

KT000000 发表于 2014-4-20 12:24
请蹲下自抽耳光，不客气。

这个不是密码啊，不算什么泄露。。

KT000000

paulIoveme 发表于 2014-4-20 15:28
这个不是密码啊，不算什么泄露。。

paulIoveme

KT000000 发表于 2014-4-20 12:41

这个我没听说过，我不太信，消息来源是哪儿？