“心血”安全漏洞對你意味著什麼

安全研究人員在OpenSSL中發現了一個嚴重的漏洞，OpenSSL是一個加密軟體庫，用於保護internet上的許多網站。這對普通使用者來說意味著什麼。...

Illustration for article titled What the "Heartbleed" Security Bug Means For You

安全研究人員在OpenSSL中發現了一個嚴重的漏洞，OpenSSL是一個加密軟體庫，用於保護internet上的許多網站。這對普通使用者來說意味著什麼。

這裡有很多技術資訊和細微差別，但我們會儘量讓它簡單易懂。如果你更精通技術，我強烈建議你閱讀這裡的Heartbleed FAQ，它提供了關於這個問題的更多資訊。

什麼是openssl和heartbleed(openssl and heartbleed)？

OpenSSL是SSL和TLS的開源實現，這兩種協議保護了您在web上看到的大部分內容。最近，OpenSSL中發現了一個關鍵的bug，這個bug已經存在了兩年多了，它可以讓網際網路上的任何人發現你傳送到一個看似安全的網站的名稱、密碼和內容。你可以想象，這是件大事(如果你對這個bug的工作原理感興趣，請檢視我們的姐妹網站Gizmodo的這篇文章。

哪些網站和服務受到影響？

心血bug（現在已知）影響執行特定版本OpenSSL（1.0.1到1.0.1f）的任何站點和服務。許多站點可能執行的OpenSSL的舊版本不易受攻擊，而且許多站點可能已經更新到了固定版本。此外，並非所有站點和服務都使用OpenSSL。例如，1Password透過不同的方法來保護他們的資訊。LastPass使用OpenSSL，並且很容易受到攻擊（直到今天早上），但是由於計算機上發生了額外的加密，LastPass說您的資料仍然安全。

據估計，超過66%的web使用OpenSSL，因此大部分web可能會受到攻擊。您可以使用此工具測試某些站點，但它不會回答站點在過去的任何時候是否存在漏洞。你可以在這裡找到一個受影響的網站列表（更多資訊如下）。

作為普通使用者，我能做些什麼？

不幸的是，你對此無能為力。解決此問題的唯一方法是讓易受攻擊的站點更新OpenSSL並重新頒發安全證書。

如果可能的話，儘量避免連線到易受攻擊的站點和服務，直到它們通知您修複。在網站修複錯誤之前，更改密碼不會有任何幫助，因此在更改密碼之前，請等待您喜愛的網站的確認。如果你得到確認，像往常一樣審核和更新你的密碼。如果站點不易受攻擊但沒有發出宣告，請更改您的密碼，以防它們在過去易受攻擊。畢竟，傷不起。更新：LastPass現在有一個工具，可以讓你知道什麼時候修改密碼。Mashable還有一個很好的服務列表可供檢查。令人驚嘆的！

這隻是對發生的事情以及它對你的影響的一個基本的總結。就像我們說的，如果你有點技術頭腦，這個令人心血的常見問題解答有更多的技術資訊，關於發生了什麼。除此之外，我們使用者能做的最好的事情就是等待和保持警惕。