如何应对Heartbleed安全漏洞所造成的影响

Heartbleed 是近期内发生的严重SSL安全事件，许多服务都深受其影响。不管是服务开发者或是使用者都必须要密切注意这件安全事件。上次我们从用户的角度说明了Heartbleed问题的严重性，并且从浏览器之外，在上网习惯这方便阐述了如何保护我们安全。本次在从开发的角度来看待这个问题，并提供开发者以及使用者建议的因应对策，让您对这个事件有更深的了解。

简介 Heartbleed

OpenSSL 是一套开放原始码的SSL 套件，其函式库是使用C 语言来实作网络传输层的资料加密功能。而 Heartbleed 则是 OpenSSL 在今年四月份所发现的一个重大安全漏洞，编号为 (CVE-2014-0160)。这个漏洞让攻击者可以通过服务器中，读取资料，并传送有漏洞的封包给服务器藉机存取可能的机敏资料，例如 SSL 金钥、帐密、Session 等，进而导致使用者的个资以及帐密因此而外洩。

开发者该如何处理

首先，若您有使用 OpenSSL 的套件，建议您立即更新至修正后的版本。根据美国国土安全局底下的电脑警备小组 (US-Computer Emergency Readiness Team) 所提出的建议，您可以参考以下步骤来处理： 1. 更新您的 OpenSSL 版本至 1.0.1g，或是联络您的软件提供商检查是否有更新。 2. 捨弃旧有密码，更换新密码。 3. 若您有使用 mod_spdy 套件的话，可能会使更新无法生效，请参考 这篇文章 来了解更多的细节。 4. 更新完成后，请重新开启主机让更新生效 。 5. 改成使用完美远期保密 (Perfect Forward Secrecy) 协定来减少密码洩漏所造成的损害。

使用者该如何处理

对于一般的使用者而言，最简单维护个人信息安全的方式是更换使用者帐户密码，但如果您使用的网站或服务尚未更新 OpenSSL，那么即使更换密码仍还是不安全的。因此建议您可以使用这个 公开的测试工具 来检查您所使用的服务是不是已经更新到最新的 OpenSSL， 通过的话再更换密码比较保险。 只需要在浏览器中打开该 网站 ，然后将你的网站链接输入到该网站，即可检测该网站的OpenSSL服务是否安全。 图二、一个公开的 Heartbleed 测试工具 (图片来源) 此外，若是您有使用的手机 App 的网络服务有用到 OpenSSL 来连线，那么该服务就有可能存在风险。特别需要注意的像是金融服务的 App 或是网络购物的服务等等，这些 App 会传递重要的个人信息，因此在使用上更须定期的更换密码。在密码设定的方面也可以参考 安全博客文章 来设定强式密码。

标签:安全浏览器相关