ENGLISH 4006-WOSIGN
首页>安全资讯>OpenSSL发布HTTPS漏洞预警 速修复漏洞保个人隐私和账户安全

OpenSSL发布HTTPS漏洞预警 速修复漏洞保个人隐私和账户安全

目前,不少互联网公司网站域名都部署了服务器SSL证书实现HTTPS加密访问,由于HTTPS加密开头的域名为用户提供了更加安全的购物环境,能防止用户信息被窃取,得到很多网民信任,不过一旦出现漏洞危害将更大。近日,OpenSSL宣布修复一个高危漏洞,解决攻击者利用该漏洞破解HTTPS中加密内容的问题,腾讯反病毒实验室专家建议用户尽快更新。

OpenSSL发布HTTPS漏洞预警

全站HTTPS加密更安全

国内外大型互联网公司均已宣布支持全站HTTPS加密,尤其是国内电商平台及其移动客户端率先支持全站HTTPS加密,力争为用户提供更安全的购物环境。除了全站支持HTTPS的网站,还有部分网站在登陆及交易页面启用HTTPS,也能够在关键环节保护用户隐私。

简单来说,HTTPS为以安全为目标的HTTP通道,即HTTP的安全版,提供了身份验证与加密通讯方法,已经被广泛用于网络上敏感信息的通讯,例如登陆账号、密码,以及重要的在线支付环节。

在信息传输过程中,HTTPS首先能够保证内容在传输过程中不会被第三方知晓,发出的数据能私密的传输到目的地。其次,HTTPS能及时发现被"中间人"或者黑客篡改的传输内容,一旦信息完整性受到破坏能迅速得到识别。最后,在信息保密、完整的传输到目的地后,会进行身份校验,保证不会传输到错误位置。

及时修复漏洞 保护个人隐私和账户资金

从技术角度看,全站HTTPS加密是目前最佳的安全解决方案,但也存在安全隐患。OpenSSL最近修复了一个高危漏洞CVE-2016-0701,攻击者可以利用该漏洞破解HTTPS中的加密内容。一旦被破解,用户电脑很可能会遭到第三方的"流量劫持"。弹窗广告只是隐患之一,还有可能让用户上网数据被偷窥,或是被误导至仿冒的"钓鱼网站",导致账号和密码被盗。

不过漏洞的潜在影响虽然严重,但需要满足多个条件才能被利用: 漏洞只存在于OpenSSL 1.0.2中;依靠OpenSSL的应用程序必须配置使用基于DSA的group去生成基于Diffie Hellman密钥交换的临时密钥。在默认情况下它将容易受到密钥恢复攻击。OpenSSL的维护者接到报告两周之内释出了新版1.0.2f,推荐使用OpenSSL 1.0.2的用户升级到新版。此外,最新版本还将拒绝密钥长度短于1,024 bits的DH密钥协商。

对此,腾讯反病毒实验室专家马劲松表示,用户在浏览网页的时候,应该尽量选择支持输入网址后域名开头显示"https"而非"http"的网页,以确保个人隐私不会被"劫持"。由于网络传输身份信息,银行账号等各种数据,可能成为不法分子的牟利手段。HTTPS安装服务器SSL证书后,就将这些内容进行了加密,能够减少数据被非法窃取的几率。然而,这只是在网站安全上最基本的安全防护,建议用户尽量设定繁琐的账号密码,采取多种措施保护个人信息和财产安全。

相关阅读:

识别网络钓鱼网站小游戏

年关将至,警惕钓鱼网站诈骗

甄别钓鱼网站防欺诈