□消費者應對

網(wǎng)站修復漏洞后用戶需修改密碼

360公司技術副總裁譚曉生建議，在4月7日和8日兩天登錄過存在漏洞的網(wǎng)站的網(wǎng)友，首先需要確認曾經(jīng)登錄的網(wǎng)站是否已經(jīng)進行了升級修復，可看該網(wǎng)站是否發(fā)布相關的公告，也可通過360網(wǎng)站衛(wèi)士推出的OpenSSL漏洞在線檢查工具，輸入網(wǎng)址檢測網(wǎng)站是否存在該漏洞。如果相關網(wǎng)站已完成了修復，則用戶需要將使用過的用戶名、密碼等個人信息進行修改；如果登錄過的網(wǎng)站仍然未能完成修復，“那很遺憾，用戶只有坐等對方修復?！?/p>

金山毒霸安全專家李鐵軍表示，對重要服務，要盡可能開通手機驗證或動態(tài)密碼，比如支付寶、郵箱等。

“針對OpenSSL漏洞，黑客的攻擊方式是不斷發(fā)動數(shù)據(jù)包攻擊，每次攻擊能夠從服務器內存上得到大小為64K的數(shù)據(jù)，不過獲得的數(shù)據(jù)是零散無序的，黑客想要獲得真正有用的信息，需要把累計獲得的數(shù)據(jù)進行整理分析，這需要一個時間過程，因此，在這兩天內及時完成密碼修改，就不會有太大的問題?！弊T曉生提醒說，不過，即便網(wǎng)站完成修復，也并不意味著天下太平了，未來是否有新的危險還不得而知。

此外，在網(wǎng)站漏洞修復前，不要網(wǎng)購或網(wǎng)上支付，以免受到損失。一個密碼的使用時間不宜過長，超過3個月就該換掉了。

什么是SSL？

SSL是一種流行的加密技術，可以保護用戶通過互聯(lián)網(wǎng)傳輸?shù)碾[私信息。網(wǎng)站采用此加密技術后，第三方無法讀取你與該網(wǎng)站之間的任何通訊信息。在后臺，通過SSL加密的數(shù)據(jù)只有接收者才能解密。

SSL最早在1994年由網(wǎng)景推出，1990年代以來已經(jīng)被所有主流瀏覽器采納。

什么是“心臟出血”漏洞？

SSL標準包含一個心跳選項，允許SSL連接一端的電腦發(fā)出一條簡短的信息，確認另一端的電腦仍然在線，并獲取反饋。研究人員發(fā)現(xiàn)，可以通過巧妙的手段發(fā)出惡意心跳信息，欺騙另一端的電腦泄露機密信息。受影響的電腦可能會因此而被騙，并發(fā)送服務器內存中的信息。

誰發(fā)現(xiàn)的這個問題？

該漏洞是由Codenomicon和谷歌安全部門的研究人員獨立發(fā)現(xiàn)的。為了將影響降到最低，研究人員已經(jīng)與OpenSSL團隊和其他關鍵的內部人士展開了合作，在公布該問題前就已經(jīng)準備好修復方案。