心脏出血漏洞,心脏出血漏洞原因

openssl怎么总是有漏洞，最新的漏洞

此次漏洞的成因是OpenSSL Heartbleed模块存在一个BUG，当攻击者构造一个特殊的数据包，满足用户心跳包中无法提供足够多的数据会导致memcpy把SSLv3记录之后的数据直接输出，该漏洞导致攻击者可以远程读取存在漏洞版本的OpenSSL服务器内存中长达64K的数据。

“心脏流血”这个名字听起来有点夸张，但这个漏洞的威力似乎当得起它的名字。不管是从可能感染的电脑数量还是从可能被泄露的数据规模，“心脏流血”的破坏力都超过在2014年早些时候狠狠羞辱了苹果公司的“GoToFail ”漏洞。“心脏流血”漏洞可以帮助黑客获得打开服务器的密钥，监听服务器数据和流量。更糟糕的是，这并不是一个新的漏洞， “心脏流血”其实已经存在两年了，但具体何时被人发现其危险性尚不得而知。

心脏出血漏洞怎么办

“心脏出血” 漏洞的危险性在于，它要比一般应用程序中的漏洞潜伏得更深，因为后者可以通过升级应用程序轻易地解决。

从Gmail和Facebook等网站传送安全信息的服务，均有可能会受到“心脏出血” 漏洞的影响。

“心脏出血” 漏洞影响到了各种版本的OpenSSL——支持大多数网络服务的通行数据加密标准。这个漏洞最初是由安全公司Codenomicon的团队和谷歌的安全官员尼尔-梅赫塔(Neel Mehta)发现的。

OpenSSL已发布了紧急更新程序，但是我们仍有必要采取额外的措施来确保你的个人数据安全。

保护自己不受“心脏出血” 漏洞影响的最佳方式是：你不仅要更新你的密码，而且要确保你选择的密码不被轻易地破解。下面的一些技巧可以帮你打造可靠的、不会轻易被别人蒙对的超强密码。

1. 确保你的密码足够长。

你的密码中的字母越多，你的密码就越不容易被别人猜到。谷歌和微软均认为，密码越长越安全。微软建议，你的密码长度至少要达到8个字母。大多数网站对于密码设置也有最低字母数量要求，这样可以有效地防止你使用极易被人猜出的4个字母的密码。

2. 尽量让密码字母随机排列。

如果你使用的密码是一个常见的单词或短语，那么你的这个密码再长也没有效，因为它还是很容易被人猜出。你最好使用一些随机的字母组合，包括各种字母、数字和符号。不要用你的姓名或公司名称作为你的密码，也不要用某个单词来充当密码。你的密码应该包含一系列大写和小写字母、数字和符号。

3. 用错误的拼写取代正确拼写的单词。

如果你准备在密码中使用单词或短语，那么故意使用错误的拼写也是防止密码被别人猜对的好办法。你可以用符号和数字来取代字母。例如，如果你想要在密码中使用“I love soccer”这句话，那么你可以将它改写为“1LuvSoCC3r!1”，这样可以让它变得更安全。

4. 同一个密码不要应用于多个账户。

你千万不要将同一个密码应用到你的所有账户中。否则，如果攻击者发现了你的一个密码，那么他们就可能会访问你所有的个人页面和账户。你还应该确保每个密码都不同于你以前设置的密码或其他现有的密码。

5. 避免出现弱智的密码。

如果你仍然不确定超强密码与弱智密码之间的差别，那么这些密码你千万不要使用：abc1234、password、admin、iloveyou和aaaaaa。在去年12月Adobe的系统遭受黑客攻击时，被破解的都是类似这些简单低级的密码。

6. 通过造句来编写密码。

编写超强密码的另一个好办法就是想出一句你很容易记住的句子，然后进行改写。例如，你造了一个句子“My favorite animal is the koala bear”。现在，你可以取用该句子中每个单词的首字母，然后添加某些标点符号，并用数字替代其中的某些字母。那么，这句话就变成了这样的密码mFA1tkB!。

7.利用应用程序和工具来创造和管理密码。

有时候，即使遵照上面列出的小技巧，你也很难想出你能牢记的安全密码。幸运的是，我们有一些值得信赖的应用程序和服务可以帮助你解决这个问题。

例如，LastPass可以将你所有的重要密码保存在一个安全的地方，并进行统一管理。这款应用程序会加密你的数据和密码列表，防止别人看到它们。而且，它还有两步认证的方法供你选择：它包含有一个密码生成器，可以创造随机的、别人几乎不可能猜到的密码。免费桌面版LastPass会在你登录新网站的时候将密码保存在LastPass上。但是，你需要通过高级预订服务(每年12美元)才能使用移动版LastPass。

而且，LastPass还有一个很实用的工具，它能够告诉你你正在使用的网站是否受到了Heartbleed漏洞的影响。

1Password应用程序是增强你的密码安全性的又一个选择。这款应用程序的售价为17.99美元，它提供的很多功能均类似于LastPass，包括密码生成器和安全加密法。它还有一个浏览器插件可以与你的桌面保持同步。

心脏出血漏洞是以下哪个协议存在的安全漏洞

不是协议的漏洞，是openssl这个库的bug导致的。涉及的加密协议是SSL。

心脏滴血漏是Linux漏洞吗

首先，您问的应该是心脏出血漏洞吧。

该漏洞在互联网又称为“heartbleed bug”，中文名称叫做“心脏出血”、““击穿心脏””等。

受影响：

OpenSSL 1.0.2-beta

OpenSSL 1.0.1 - OpenSSL 1.0.1f

除非针对CVE-2014-0160的操作系统补丁已经安装，而没有更改库版本，如Debian、Red Hat Enterprise Linux（及其派生版，如CentOS、Amazon Linux）或Ubuntu（及其派生版，如Linux Mint）。

Linux系统也是会受影响的。