V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
0x001
V2EX  ›  问与答

这次 ssl 安全事故,造成了多少损失。

  •  
  •   0x001 · 2014-04-10 12:40:30 +08:00 · 3194 次点击
    这是一个创建于 3909 天前的主题,其中的信息可能已经有所发展或是发生改变。
    有没有受害最深的?
    9 条回复    1970-01-01 08:00:00 +08:00
    dndx
        1
    dndx  
       2014-04-10 14:13:41 +08:00
    工作的地方管理着 400 多个网站,SSL 全部通过 F5 处理,侥幸逃过一劫..
    Shieffan
        2
    Shieffan  
       2014-04-10 14:36:14 +08:00
    漏洞说起来比较严重,但是这个漏洞的利用难度比较大,缺少能直接拿来操作的POC,而且读出来的64k内存很大概率是无意义内容,就算是有意义内容,分析起来难度也大
    niseter
        3
    niseter  
       2014-04-10 17:27:32 +08:00
    虽然其原理导致可能造成的后果很恐怖,但是其实问题不大:
    1.公开前就准备好补丁,一公开就发布。
    2.没有顺手的漏洞利用工具,这往往需要时间。
    3.最重要的,这次不需客户的任何操作。
    usernametoolong
        4
    usernametoolong  
       2014-04-10 17:29:06 +08:00
    淘宝基本都被拖完了,卖数据库的到处都有,支付宝都强制绑定手机了,你说呢?
    andyliu
        5
    andyliu  
       2014-04-10 17:33:04 +08:00
    @usernametoolong 这么夸张?
    usernametoolong
        6
    usernametoolong  
       2014-04-10 17:35:28 +08:00
    @andyliu 去乌云看看吧,很多用ssl的都被拖得差不多了
    sdysj
        7
    sdysj  
       2014-04-10 17:36:40 +08:00
    毁灭性灾难好不好?觉得问题不大的都是小白。
    @niseter
    Lone
        8
    Lone  
       2014-04-10 17:56:27 +08:00
    损失估计是很难计算,根本就不知道谁偷了什么东西。

    说问题不大的都忽视了这个漏洞存在了2年多,这两年多以来不知道都有什么人早已经掌握这个漏洞并利用来,如果认为公布出来才有人利用也太瞧不起地下黑客产业了。

    保险起见至少是跟钱有关的网站,全都改过密码。
    niseter
        9
    niseter  
       2014-04-10 19:25:47 +08:00
    @sdysj 在我看来,不麻烦客户的事都好办。就怕客户端都到客户电脑了,结果出事了。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1053 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 22ms · UTC 23:25 · PVG 07:25 · LAX 15:25 · JFK 18:25
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.