从 OpenSSL 漏洞谈及数据安全 

相信这则关于安全漏洞的消息大家都了解：一款应用广泛的安全工具套件

OpenSSL 被发现一个重大漏洞，

所有使用该安全套件的网站信息都有被泄露的可能。

　　漏洞主要针对

Https 开头的网址，可能被泄露的信息包括用户登录账号交易密码等，大批网银、知名购

物网站、电子邮件等都

“躺着中枪”。

　　多备份多方咨询后只想说一句，这是又一起道高一尺、魔高一丈的安全斗法。被发现漏洞的是基础技术

层面的

OpenSSL 安全套件，所有使用 OpenSSL 安全套件的网站都可能被黑客利用漏洞攻击，而用户则是

最终受害者。

　　尽管

OpenSSL 已经很快对漏洞进行了修补，各大网站只要及时升级系统就不会再受到本次漏洞影响。

但是从数据安全角度来说是否有点不妥呢

　　

OpenSSL 漏洞事件缘由

　　

OpenSSL 是一套具有稳固、商业用途且开放原始码的 SSL 工具套件，囊括了主要的密码算法、常用的

密钥和证书封装管理功能以及

SSL 协议，目前正在各大网银、在线支付、电商网站、门户网站、电子邮件等重

要网站上广泛使用。

　　举个不完全恰当的例子，

OpenSSL 相当于一个高级别的

“密码锁”，广泛应用于需要加密的通讯传输协

议，比如账号登陆、网银支付等。很多网站为了增加自身的安全性都使用了

OpenSSL 这把高级

“密码锁”。

　　但现在有黑客经过多年研究，找到了这个密码锁的钥匙，就是今天提到的重大漏洞

“Heartbleed(心脏

流血

)

”。而拿着钥匙的人可以轻易打开这个锁，来每次盗取 64K 大小的核心用户资料，比较可怕的是，虽

然每次只能盗取

64K 大小的文件，但盗取次数不限。

　　本次漏洞影响范围特别广泛，基本上所有使用

HTTPS 开头的网站都会受到影响。据网络空间搜索引擎

发布的数据表示，国内有

3 万多个网络端口有可能受到此次漏洞的影响。

　　据公开资料显示，这一漏洞影响了

OpenSSL 的 1.0.1 和 1.0.2 测试版。目前 OpenSSL 已经发布了 1.0.1g

版本以修复这一问题。被漏洞问题波及的网站只需要更新

OpenSSL 的版本就可以不再受此漏洞的影响。

　　截至发稿时，网上公布了已完成本漏洞修复的一部分大型网站，

12306 铁路客户服务中心、微信公众

号、微信网页版、

QQ 信箱、陌陌、雅虎、比特币中国、支付宝、知乎、淘宝网、360 应用等，百度也发消息声称百

度钱包等应用不受本次漏洞影响，而中国电信、京东商城等目前尚处于未修复状态。

　　我们能做什么

?

　　就本次

OpenSSL 漏洞事件本身来说，如果纯粹升个级就可以解决该漏洞问题，那么此事将很快告一

段落。