购买
下载掌阅APP,畅读海量书库
立即打开
畅读海量书库
扫码下载掌阅APP

如何保障网络安全:心血漏洞

2014年,距离互联网的发明已有几十年,其商业化也已超过20年。世界开始认识到,用户的数字生活有多依赖于志愿者无偿奉献时间的善意。那年3月,谷歌的研究人员发现了一个互联网漏洞,也就是我们后来熟悉的“心血漏洞”(Heartbleed)。

在开放式安全套接层协议(OpenSSL)的456 332行代码中,曾经出现了一个微小的问题。OpenSSL项目由志愿者组成的团体一起管理,负责传输层安全协议(TSL)的普遍实施。简言之,OpenSSL是一个加密安全工具包,为谷歌邮箱(Gmail)、网飞和易集(Etsy)等不同网站提供了一种快速、简便和免费的服务,从而确保用户的数据传输安全。

大型科技公司一直以来都过度依赖一群工作繁重、酬不抵劳的志愿者,而志愿者的善意支持最终也导致了一些错误:当计算机使用OpenSSL协议与服务器通信时,OpenSSL协议会要求服务器和计算机互相发送一个“心跳”信号(一个小数据包),以确认双方的通信正常运行。但是,当时OpenSSL协议出现了一个编码错误,因此,任何人都可以请求服务器返回一个大于预期的数据包,最多可以达到64 k——相当于重复44次《葛底斯堡演说》( Gettysburg address 的文本量。

心血漏洞导致网站泄露了本不应该外泄的数据,每次请求时都有可能泄露多达64 k的信息。有些信息或许无伤大雅,但有些或许包含了用户的密码或个人资料。而据估计,全球三分之二的网站都在使用OpenSSL,这个问题成了一个严重的安全隐患。这一问题最终由史蒂夫·马奎斯(Steve Marquess)和斯蒂芬·亨森(Stephen Henson)两位专家负责解决,他们曾负责过OpenSSL代码库中的核心部分。在经过了多个漫长的夜晚,承受了极大的压力之后,两位专家更新了OpenSSL代码,成功解决了这个问题。

由此,大型科技企业意识到这些志愿者工作的重要性,开始向OpenSSL基金会注入资金。这件事提醒我们,用户的数字体验是拼凑而成的,是几十年历史积淀的结晶。 BWxGVIQexxNZVywX11QwJunBJwp5/1+h6eAFN3+5LSm546VKf1M20+PPjtHbJS2D

点击中间区域
呼出菜单
上一章
目录
下一章
×