2014-04-09 14:53
Heartbleed 这事儿还没完,说夸张点,可能刚刚开始。1、昨天各家的安全工程师都很辛苦。但搞入侵的可能比你们更辛苦,很多人估计昨晚一宿没睡。他们赶在各家修复前所抓到的数据会在未来几天里被分析、提取、利用。2、据一个向来比较靠谱的同志说:OpenSSL不是唯一存在类似问题的库。
2014-04-09 13:57
要改密码的现在可以去改了。昨天有些同志当时就吓得说要去改密码——要是昨天没登陆,其实啥事没有,跑去改密码,反倒让密码进内存了。最近安全事件的影响力有赶超80年代副食品涨价的趋势,大家辛苦点,不过对行业是好事。
2014-04-09 13:01
关于OpenSSL某些版本存在基于基础协议的通用漏洞,阿里各网站已经在第一时间进行了修复处理,目前已经处理完毕,包括淘宝、天猫、支付宝等各大网站都确认可以放心使用。
2014-04-09 09:23
我发表了文章《“Heartbleed”漏洞之后》:……对密码可能被盗取的用户进行额外风控措施……一旦发现异常,再通知修改密码——用另外的信道发这个通知,比如用户的注册邮箱。当然,如果监控到注册邮箱被修改了,往修改前的邮箱发。 🔗“Heartbleed”漏洞之后
2014-04-08 16:53
统计了一下,平均每个请求可以得到2组明文用户名密码。另外,作为普通用户,能做的大概就是今天别登陆。
2014-04-08 16:32
这个OpenSSL“心血”漏洞,各大互联网企业的运维今天可能得辛苦点,抓紧升级,或在边界上采取点措施扛一下。刚才写了个脚本简单跑了跑,一分钟就从某巨型购物网站的登陆服务器上抓到若干组明文用户名/密码。实测可成功登陆。其中一组还是某旗舰店的,幸好有手机验证这一关挡着。