神奇小镇，手信和锁 

从前有一座神奇的小镇。

小镇上的居民天生都不会说话，但是他们每人都能写一手好字。依靠“传纸条”，他们每天都能快乐地交流。

于是，邮差们成了小镇上最忙碌的人。他们不断地从一些居民手上收信，然后把它们送到另一些居民手上，从早到晚不停歇，在小镇上跑过的路线就像蜘蛛网一样。

渐渐地，出现了一点儿小状况：

虽然只是负责送信，但是八卦的邮差们总忍不住偷看小纸条上的内容。谁家的小秘密，用不了几天所有人就都知道了。

一位叫钢蛋的姑娘恋爱了，她觉得如果自己给心上人说的情话，让邮差就这样明晃晃地拿去，肯定传得满城风雨，实在是太害羞了。

于是，钢蛋想到了一个好主意，她去村头锁匠“老O”那里买了几把锁。把自己的信封锁起来交给邮差，而邮差把带锁的信送给情人之后，对方再用准备好的相同的钥匙把锁打开。

其他人看到了，纷纷惊呼“还有这种骚操作？”于是都去“老O”那里买锁，把自己的信“加密”，这回邮差就别想偷看信里的内容啦。小镇居民于是又像从前一样过上了没羞没臊的生活。

这座神奇的小镇，名字就叫“互联网”。

而给信件加锁的套路，就是你每天都在用的 SSL 加密传输协议。（使用 SSL数字证书 进行协议传输的时候，在网址的最左边会出现“HTTPs”字样，有的浏览器还会显示一把小锁，你一定见过。）

而小镇中的那个锁匠老O，对应在现实世界的互联网中，就是著名的“OpenSSL”加密传输组件。

简单来说，加密传输的技术是酱紫的：

在你访问网站的时候，你和网站共同商量出一个“秘钥”，你们之间传递的信息，都用这个秘钥加密。那么在整个传输的过程中，无论是什么人都没办法窥探传输内容。

正如神奇小镇上的锁匠“老O”三辈祖传做锁，所以镇上大多数人都在用他家的锁一样，由于OpenSSL 从1995年就开始维护这套加密传输技术，所以目前大多数网站都选择他家的“老字号”加密传输组件。

好，中哥今天的故事讲完了。

再见。

。。。

。。。

。。。

等等，浅友们你们坐下。这个世界上从来就没有 Happy Ending。接下来就是今天的 ONE MORE THING。。。

2014年，这个小镇上新来了一位奇怪的邮差。。。

姑娘钢蛋发现，这个邮差贼眉鼠眼，于是决定跟踪着他。

高潮紧接着来了。这个邮差拿到信之后，拐进了一个黑漆漆的胡同，然后从兜里掏出一把“万能钥匙”，把所有的锁都打开了，津津有味地读着别人的隐私。。。

钢蛋顿时如五雷轰顶，手扶胸口，一口老血喷出来，嗷一声昏死过去。。。

镇上的捕头闻讯赶来，当场发现了邮差“私自开锁”的勾当。

原来，这位邮差原本是一个“开锁爱好者”，他发现了一个惊天秘密——所有老O家生产的锁，都有一个缺陷，只要自制一把万能钥匙就能打开，这才动了心思要来假扮邮差盗取人们的隐私。

此事一出，老O颜面扫地，专门挨家挨户赔礼道歉，并且把家家户户的锁都修复成了“最新版”。

小镇上为了纪念这次安全事件，专门在广场上立了一个石碑，上面画着钢蛋手扶胸口喷血的样子，以警示世人。于是这个锁的漏洞，也被命名为“心脏滴血”。。。

钢蛋姑娘和心脏滴血漏洞

我说的可不是神话故事，而是发生在我们身边的真实历史。

2014年，著名的 OpenSSL 组件爆发了心脏滴血漏洞：黑客通过简单的方法进行攻击，就可以不费吹灰之力拿到用户和网站的隐私。这就像一枚核弹爆炸，让全球大多数网站的密文传输系统瞬间崩塌。各大网站纷纷火速修补，然而直到 2018 年，仍然有很多网站在使用带有漏洞的安全协议。

（针对OpenSSL心血漏洞，沃通提供紧急免费替换支援）

你可能已经明白我想说什么了——“心脏滴血”绝不是 ONE MORE THING，而是一部恐怖续集的第一幕。

“心脏滴血”一周年时，全球仍受影响的国家。可以看出来，越是信息技术发达的国家，影响越持续。（数据来自 ZoomEye）

 

本文转自浅黑科技微信公众号，作者史中，部分节选