亚洲日本免费-啊轻点灬太粗太长了三男一女-麻豆av电影在线观看-日韩一级片毛片|www.grbbt.com

　　“心臟出血”漏洞（Heartbleed）已經(jīng)過去6個月時間，這個一度被視為互聯(lián)網(wǎng)上最嚴(yán)重的網(wǎng)絡(luò)安全漏洞（現(xiàn)在被“破殼”取代），在目前仍不可小視。這個漏洞由Codenomicon、Google兩家公司分別發(fā)現(xiàn)。作為最初漏洞發(fā)現(xiàn)者，Codenomicon公司的三名成員很早就對外公布了他們的發(fā)現(xiàn)經(jīng)過，不過Google安全工程師一直沒有透露過。

　　在最近一期Risky.biz播客上，Google安全工程師NeelMehta首度揭秘了他們對“心臟出血”的發(fā)現(xiàn)過程。

　　這與NeelMehta的工作職責(zé)有關(guān)。他說：“我在做的是OpenSSL審計工作，以及整個SSL通信層安全。”這顯然是一項長期工作，Mehta沒有表示他已經(jīng)完成此項審計。

　　SSL（SecureSocketsLayer）是一個保障數(shù)據(jù)完整、安全的加密協(xié)議，它經(jīng)常用在客戶端與服務(wù)器之間，我們常使用的Google搜索、支付寶、微信就是使用它來保障安全。OpenSSL是SSL協(xié)議的開源實現(xiàn)，它們類似于Chrome與瀏覽器工作機制（W3C規(guī)范）之間的關(guān)系。

　　Mehta表示，發(fā)現(xiàn)“心臟出血”漏洞最主要的原因，是由于他在SSL協(xié)議棧上的一些早先發(fā)現(xiàn)，包括今年2月份發(fā)現(xiàn)的GoToFail漏洞、3月份發(fā)現(xiàn)的GnuTLS漏洞。

　　“你會感覺在SSL協(xié)議層上，可能存在更多未發(fā)現(xiàn)的東西。所以我很好奇它的安全現(xiàn)狀，并順便做了下研究。然后…”

　　沒想到反響會如此巨大，主流媒體大多都做了報道（WSJ、Reuters、FT等）。Mehta說：“這個結(jié)果讓我有些驚訝。”當(dāng)時還有另一家安全公司也發(fā)現(xiàn)了這個漏洞，并上線了一個專門播報漏洞狀況的網(wǎng)站。

　　不過Mehta對于漏洞的一些夸張說法不太感冒。在漏洞被公布后，彭博社的一篇報道提到：“美國國家安全局在他之前就知道’心臟流血’漏洞，并利用它達(dá)成過不可告人的目的。”Mehta表示不太確定這個說法，他個人認(rèn)為這是不太可能的（原話為unlikely）。

　　不過這確實是一個問題。“心臟出血”漏洞已經(jīng)存在了兩年多時間，直到現(xiàn)在才被發(fā)現(xiàn)和修補，還是因為Google對自身使用的基礎(chǔ)服務(wù)的審查。

　　“這可能是到達(dá)了一個臨界點。”Mehta說，“在斯諾登揭秘美國國家安全局的大規(guī)模竊聽計劃后，加密在過去一年被越來越重視。今年早些時候我們就發(fā)現(xiàn)了一大堆問題，接下來由于大家的重視，在這方面會有更多的發(fā)現(xiàn)。”

　　在斯諾登揭秘中，美國國家安全局曾經(jīng)竊聽過Google數(shù)據(jù)中心之間的加密數(shù)據(jù)，并成功破解。

　　Mehta還談到了“破殼”漏洞（Shellshock），他認(rèn)為這是比“心臟出血”漏洞更為嚴(yán)重。

　　這些漏洞之所以嚴(yán)重，是由于類似bash、OpenSSL的開源軟件被廣泛應(yīng)用于全球數(shù)億設(shè)備之上。他懷疑其它軟件——被其稱之為“用膠水貼合在一起”的軟件，可能還存在著很多長年未被發(fā)現(xiàn)的問題。例如Zlib，一個在很多軟件中使用的壓縮庫；libjpeg，一個被廣泛應(yīng)用的JPEG庫文件。

　　“libjpeg庫中的bug，將會有巨大的影響。”Mehta說道。