Heartbleed SSL漏洞在世界范围内成为头条新闻-媒体和在线上的错误报道引起混乱。您如何确保安全并确保您的个人信息不被泄漏?
什么是流血?好吧,这不是病毒
您可能已经听说过Heartbleed被描述为病毒。事实并非如此:实际上,这是一个弱点,是运行OpenSSL的服务器中的一个漏洞。这是SSL和TLS的开源实现,这是用于安全连接的协议–始于 https:// 的协议,而不是通常的 http:// 。
此漏洞(通常称为错误)从本质上造成了一个漏洞,黑客可以通过该漏洞规避加密。在2014年4月7日确认,该版本在除1.0.1g之外的所有OpenSSL版本中都存在。威胁仅限于运行OpenSSL的站点-可以使用其他SSL和TLS库,但是OpenSSL在网络上的服务器中广泛使用。已解决该问题,但可能未将其应用于您定期访问以进行安全活动的网站。这些可能是在线购物,赌博和其他以成人为主题的网站,甚至是社交网络。
因此,所有形式的个人和财务信息都可能处于危险之中。
考虑到Heartbleed有多大的交易(以及为什么要这么称呼),Ryan最近将这个跨Internet的bug置于上下文中。我们应该强调指出,Heartbleed是一个基于Internet的漏洞,因此会影响所有操作系统(台式机和移动设备)的用户。
那么,这很重要-但是您能做什么?
忽略炒作和不要恐慌
好吧,你不应该做一件事:恐慌。过去几天,在互联网和印刷媒体上已经写了很多文章,其中很多都是炒作,毁灭性色情,这使奥森·威尔斯着名的《世界大战》无线电广播的效果令人sha愧。
您所见到的大部分内容都会被不熟悉该术语并且对风险缺乏清晰了解的记者从新闻稿和其他报道中弄清。
例如,您可能知道您应该立即更改密码(并非完全正确,我们应该添加–见下文)。但是您知道网络钓鱼的风险吗?
网络钓鱼的风险
受Heartbleed影响的负责的Web服务,银行和社交网络会向您发送一封电子邮件,让您知道他们已经修复了该漏洞,并建议您更改密码。
自然,您应该这样做–但是请注意,这种情况为网络钓鱼者提供了一个理想的机会,使网络钓鱼者可以开始发送伪造的电子邮件,并附带嵌入式链接。 “更改密码"页面–实际上是一个旨在收集您的详细信息的网站。
您所使用的任何服务均不建议您单击未经请求发送的电子邮件中的更改密码链接。不幸的是,IFTTT做到了,Pinterest也是如此(上文)。这是一种不好的做法,给人的印象是可以接受该链接,并且应该单击该链接。
除非您已请求电子邮件,否则不应单击该链接。
带密码的大写字母重设电子邮件不应包含登录链接。如果是这样,请将其删除,然后通过在浏览器中键入地址(或从历史记录或收藏夹中选择地址,具体取决于您对这些东西的滚动方式)来访问网站。从那里,重置您的密码…
…,但仅在您实际需要时才这样做。
不幸的是,公关驱动的公司需要看起来像他们在做些事情像Heartbleed这样的威胁可能与威胁本身一样具有破坏性。
因此,您应该更改密码吗?
Heartbleed建议中流传的主要建议之一是您应该立即更改您的密码。
所有密码。
遗憾的是,这是我在简介中提到的错误信息的一个示例。假设您对多个网站使用相同的密码。首先,这是一种不好的做法,您应该在以后重新考虑这样做(更不用说创建更多安全的密码了。)
第二,如果您不加选择地更改了所有密码,则很可能是将会在未运行补丁服务器的网站上进行此操作-Heartbleed仍然是存在漏洞的服务器。
您可能无意间将旧密码和新密码与能够利用此漏洞进行身份欺诈和垃圾邮件操作。
如此,您仅应在知道已对它们进行修补后才逐个站点更改密码。已被应用并关闭了该漏洞。
检查哪些网站已被修补
通过检查哪些网站没有Heartbleed漏洞来开始。
有有两种方法可以做到这一点。首先,前往Mashable,在这里可以找到受Heartbleed影响的大型网站的最新列表,以及有关是否应该更改密码的建议。
对于较小的网站,这个出色的搜索工具会立即告诉您该网站是否已打补丁。
另一种选择是适用于Google Chrome的Chromebleed Checker扩展程序。
如果您使用的网站已经过受影响且尚未修补Heartbleed漏洞,请避免在情况解决之前登录。
结论:这是一个等待的游戏
应对Heartbleed风暴应该不是问题对于大多数。坚持我们上面建议的课程,在相应的网站和服务要求您更改密码之前,不要更改任何密码。
您还可以使用新工具来检查是否您计划访问的网站(甚至您经营的网站)已经受到影响,并且是否已应用修复程序。
最重要的是,请保持安全和耐心。 Heartbleed可能会造成严重问题的可能性仍然存在–避免在需要保护之前必须修补的任何网站。
图片来源:Shutterstock的Bullet Heart,Shutterstock的HTTPS,Don “通过Shutterstock的恐慌按钮,通过Shutterstock的密码
