時間將會驗證“心臟出血”漏洞后患

昨晚跟一位前黑客聊，對方稱黑客從獲得信息到實施盜竊一般都有個間隔時間，心臟出血的后果不會一時間顯現(xiàn)出來，但隱患很大。

４月８日，網(wǎng)絡(luò)安全協(xié)議ＯｐｅｎＳＳＬ被曝發(fā)現(xiàn)嚴重安全漏洞，在業(yè)內(nèi)引發(fā)劇烈反響，不少媒體用“心臟出血”、“地震級網(wǎng)絡(luò)災(zāi)難”、“年度最嚴重安全漏洞”等震撼說法加以形容，但在業(yè)外，大多數(shù)普通網(wǎng)民卻是抱著一種“不明覺厲”的旁觀心態(tài)，沒有像上次攜程“信用卡”門那樣反應(yīng)激烈，還有人還質(zhì)疑是否在夸大其詞或存在商業(yè)陰謀。

這是可以理解的，因為對普通人來說，攜程漏洞事件“危害場景”很直白，就是用戶在特定時間內(nèi)登錄攜程支付時有可能被黑客竊取到信用卡密碼。但這次“心臟出血”事件聽起來卻離網(wǎng)民有點遠，人們一時半會兒無法準確評估自己會否被牽扯進去。

就其危害性，可以明確的說，這次“心臟出血”與攜程事件不可同日而語，這是一個全球性的網(wǎng)絡(luò)安全事件，從其代號“心臟流血”（Heartbleed）即可看出。漏洞大概是這樣的：OpenSSL是目前互聯(lián)網(wǎng)上應(yīng)用最廣泛的安全傳輸方法（基于SSL即安全套接層協(xié)議），很多電商、支付類接口、社交、門戶網(wǎng)站都在應(yīng)用此協(xié)議，但在某一個版本的設(shè)計和迭代時，因程序員的疏忽導(dǎo)致遺留下一個安全漏洞，而且，這個漏洞在長達兩年的時間內(nèi)沒有被發(fā)現(xiàn)，直到最近。

“心臟流血”漏洞的危害很明顯，它可以使不法之徒借漏洞盜取網(wǎng)民在特定網(wǎng)站的各種密碼，包括網(wǎng)銀。漏洞爆出后，產(chǎn)生兩種后果，一是大量網(wǎng)站聞知立刻采取緊急修復(fù)措施；二是黑客也知道了這一消息，與網(wǎng)站賽跑趁機竊取信息。所謂道高一尺魔高一丈，不管網(wǎng)站修復(fù)的多迅速，但企業(yè)反映總是有個過程，在此過程中，很可能已經(jīng)有信息失竊，更何況，還有大量安全意識差的網(wǎng)站沒有第一時間修復(fù)漏洞。

還有一個都在擔(dān)心，卻無法在短期內(nèi)證實的隱憂：長達兩年的時間里，這個漏洞一直存在，會否有黑客早已悄悄的發(fā)現(xiàn)了這個漏洞，并已經(jīng)采取了盜秘行動呢？

以上這幾種后果，無論哪一種屬實，都會在未來給網(wǎng)民造成嚴重損失，可能發(fā)生在明天，也可能發(fā)生在下個月，乃至明年，從這個角度說，對“心臟出血”保持高度警惕絕非杞人憂天。

網(wǎng)民的旁觀與無動于衷，其實正反映出當下真實的網(wǎng)絡(luò)安全意識現(xiàn)狀?；ヂ?lián)網(wǎng)飛速發(fā)展十幾年，但從全球范圍講，危害大到足夠震撼全社會的網(wǎng)絡(luò)安全事件還一件都沒有。安全是需要用戶付出額外代價的，比如更換密碼、記住密碼就很麻煩，沒有經(jīng)受過切膚之痛，人們很難真正對網(wǎng)絡(luò)安全重視起來。

這次“心臟出血”事件有可能會產(chǎn)生地震級的網(wǎng)絡(luò)災(zāi)難，也有可能因為補救及時而幸運地平滑而過，但隨著人們把越來越多的信息與財富放在網(wǎng)上，而防范意識又無法真正提高，早晚都難免會發(fā)生一起災(zāi)難性的網(wǎng)絡(luò)安全大事件，這不是預(yù)言，這是宿命。

做好網(wǎng)絡(luò)安全，網(wǎng)站有重要責(zé)任，但單靠網(wǎng)站單方面的升級與打補丁無濟于事，網(wǎng)絡(luò)安全更是每個人自己的事情，關(guān)注安全信息，定期安全密碼，增加安全驗證等等，這看起來很麻煩，但與互聯(lián)網(wǎng)所帶來便利相比，其實不算什么，就當做為享受互聯(lián)網(wǎng)而支付的對價吧。

生成海報

免責(zé)聲明：此文內(nèi)容為第三方自媒體作者發(fā)布的觀察或評論性文章，所有文字和圖片版權(quán)歸作者所有，且僅代表作者個人觀點，與極客網(wǎng)無關(guān)。文章僅供讀者參考，并請自行核實相關(guān)內(nèi)容。投訴郵箱：editor@fromgeek.com。

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關(guān)資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負任何法律責(zé)任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。