精品亚洲欧洲精品亚洲,欧美精品一区二区三区AAA

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷(xiāo)解決方案

加密傳輸有漏洞OpenSSL火速出補(bǔ)丁!

昨天報(bào)道的TLS中間人攻擊 (CNBETA), 今天OpenSSL已經(jīng)有了補(bǔ)丁, 速度挺快.

不過(guò)這個(gè)補(bǔ)丁并不是從協(xié)議上修補(bǔ)了漏洞,而只是默認(rèn)情況下關(guān)閉了renegotiation.我們推薦所有使用OpenSSL的用戶(hù)(網(wǎng)站,或者客戶(hù)端軟件),盡快下載更新到最新版的OpenSSL.

下載地址: http://www.openssl.org/source/

當(dāng)然此前也有過(guò)討論, 簡(jiǎn)單地關(guān)閉掉Renegotiation肯定會(huì)在某些應(yīng)用場(chǎng)景下打來(lái)一些功能性的問(wèn)題. 我們推薦在應(yīng)用補(bǔ)丁之前進(jìn)行比較充分的測(cè)試. 同時(shí),即便是出現(xiàn)了功能性問(wèn)題, OpenSSL也為此提供了解決方案, 如果出現(xiàn)問(wèn)題,只需"set a flag and -hup!"

另外, 正如同牛人們(Tom Cross@ISS, Yunshu)指出的那樣, 這個(gè)漏洞也沒(méi)什么大不了, 效果更像是CSRF.

什么是CSRF:

CSRF（Cross-site request forgery跨站請(qǐng)求偽造，也被稱(chēng)成為“one click attack”或者session riding，通常縮寫(xiě)為CSRF或者XSRF，是一種對(duì)網(wǎng)站的惡意利用。盡管聽(tīng)起來(lái)像跨站腳本（XSS），但它與XSS非常不同，并且攻擊方式幾乎相左。XSS利用站點(diǎn)內(nèi)的信任用戶(hù)，而CSRF則通過(guò)偽裝來(lái)自受信任用戶(hù)的請(qǐng)求來(lái)利用受信任的網(wǎng)站。與XSS攻擊相比，CSRF攻擊往往不大流行（因此對(duì)其進(jìn)行防范的資源也相當(dāng)稀少）和難以防范，所以被認(rèn)為比XSS更具危險(xiǎn)性。

【編輯推薦】

你用SSL VPN要小心它仍有安全漏洞
網(wǎng)絡(luò)安全之TCP端口作用、漏洞及操作
FreeBSD安全連接方式SSL

新聞名稱(chēng)：加密傳輸有漏洞OpenSSL火速出補(bǔ)丁!
分享URL：http://www.5511xx.com/article/ccsijop.html

新聞中心

其他資訊