4月8日晚，一個名為“heartbleed”(心臟出血)協(xié)議級漏洞爆發(fā)，互聯(lián)網(wǎng)世界進(jìn)入一個探尋與反探尋，黑客和白帽信息安全專家們斗快、斗智的一晚。

　　什么是OPENSSL?

　　OPENSSL是為網(wǎng)絡(luò)通信提供安全及數(shù)據(jù)完整性的一種安全協(xié)議，囊括了主要的密碼算法、常用的密鑰和證書封裝管理功能以及SSL協(xié)議，并提供了豐富的應(yīng)用程序供測試或其它目的使用。

　　一般而言，網(wǎng)站通過http(超文本傳輸協(xié)議)實現(xiàn)瀏覽器和互聯(lián)網(wǎng)之間的信息互通，但對于一些涉及個人賬戶數(shù)據(jù)的網(wǎng)站，則會采用https，這其中的S即是指SSL。增加用戶的加密/身份驗證層，是目前互聯(lián)網(wǎng)上使用較為廣泛的敏感信息加密方法，廣泛應(yīng)用于各類電子商務(wù)購物平臺、社交網(wǎng)絡(luò)、第三方在線支付、網(wǎng)絡(luò)銀行、電子郵件等。

　　OPENSSL漏洞爆發(fā)的危害

　　作為互聯(lián)網(wǎng)上被廣泛使用的用戶信息安全鎖，OPENSSL漏洞的爆發(fā)可以讓特定版本的OpenSSL(OpenSSL 1.01系列版本)成為無需鑰匙即可開啟的廢鎖，利用漏洞，攻擊者可以獲得服務(wù)器上64K內(nèi)存中的數(shù)據(jù)內(nèi)容。這部分?jǐn)?shù)據(jù)中，可能存有安全證書、用戶名與密碼、聊天工具的消息、電子郵件以及重要的商業(yè)文檔等數(shù)據(jù)。雖然64K數(shù)據(jù)量并不大，但如果黑客有耐心地多次通過漏洞搜尋、拼湊信息，包括明文密碼在內(nèi)的許多密鑰數(shù)據(jù)都可以被獲取。有相關(guān)網(wǎng)絡(luò)安全行業(yè)人士在知乎上透露，通過這個漏洞在某著名電商網(wǎng)站上嘗試讀取數(shù)據(jù)，在讀取200次后，獲得了40多個用戶名、7個密碼，用這些密碼，他成功地登錄了該網(wǎng)站。在業(yè)內(nèi)人士對國內(nèi)的服務(wù)器進(jìn)行體檢之后，雅虎門戶主頁、微信公眾號、微信網(wǎng)頁版、YY語音、淘寶、網(wǎng)銀、陌陌、社交、門戶網(wǎng)站等都被證明存在此漏洞。

　　網(wǎng)民如何保護(hù)個人信息安全

　　截止發(fā)稿，國內(nèi)大型互聯(lián)網(wǎng)公司，如BAT、各大門戶網(wǎng)站等都已經(jīng)對OpenSSL進(jìn)行了升級修復(fù)，銀行業(yè)也發(fā)表聲明兩日內(nèi)即可修復(fù)該漏洞。但鑒于該漏洞始于2012年，且無法追溯服務(wù)器上的密鑰內(nèi)容是否已被黑客查詢，因而建議廣大網(wǎng)友在近期進(jìn)行網(wǎng)絡(luò)交易時注意如下幾點(diǎn)：

　　1、在確認(rèn)有關(guān)網(wǎng)站安全之前，不要使用網(wǎng)銀、電子支付和電商購物等功能；

　　2、已確認(rèn)安全的網(wǎng)站，及時進(jìn)行相關(guān)密碼的修改，同時更換網(wǎng)站的安全證書；

　　3、不管此次漏洞的危害持續(xù)性有多久，互聯(lián)網(wǎng)作為依靠代碼連接起來的世界，只要網(wǎng)絡(luò)世界還在持續(xù)發(fā)展，網(wǎng)絡(luò)信息安全就是一個需要長期關(guān)注的話題。作為網(wǎng)民自身，也應(yīng)建立起保護(hù)個人信息安全的意識，定期更換密鑰、安全信息和安全證書。