您的位置:主页 > 奇趣宠物 > 爬虫 >

HeartbleedSSLFlawAngst因严重披露流程而加剧

2019-09-02     来源:秦风网         内容标签:HeartbleedSSLFlawAngst,因,严重,披露

导读:Heartbleed加密漏洞可能是近期内存中最严重的互联网安全漏洞,影响了数亿人。Heartbleed漏洞存在于OpenSSL中,OpenSSL是一个用于安全套接字层(SSL)的开源加密库,安全套接字层广泛部署在

Heartbleed加密漏洞可能是近期内存中最严重的互联网安全漏洞,影响了数亿人。Heartbleed漏洞存在于OpenSSL中,OpenSSL是一个用于安全套接字层(SSL)的开源加密库,安全套接字层广泛部署在全球的Linux服务器和Internet基础设施上。

可能不是围绕Heartbleed问题的媒体圈中众所周知的是,这个关键的安全问题是如何从第一天开始打包和打上烙印的。不幸的是,这也是一个缺陷,因为披露过程中的损失只会给安全风险带来更多的燃料和焦虑。

4月7日,最初发布了原始的OpenSSL咨询,但没有将漏洞称为“Heartbleed”,而不是OpenSSL中的“Heartbeat”漏洞。心跳是指该功能在OpenSSL中提供的技术监控功能。

Heartbleed的名称,以及在无数​​媒体报道中重复使用的精心设计的徽标,是安全研究公司Codenomicon的创建。与谷歌安全研究人员一起,Codenomicon因最初发现Heartbleed漏洞而受到赞誉。

Heartbleed图标由Codenomicon设计师内部创建,该公司的首席营销官HopeFrank告诉eWEEK.Codenomicon还在4月5日注册了域名heartbleed.com作为传播有关安全问题的信息的关键资源。

“我们的意图是永远不会推销,[但]宁愿通知,教育和建议,”弗兰克说。“这就是为什么我们决定发布我们内部的Heartbleed内容并创建了网站。域名碰巧可用。“

Codenomicon希望利用其调查结果来教育那些急需资料的人弗兰克说,并补充说,这些信息是在OpenSSL.org发现漏洞后发布的。

披露流程

Heartbleed漏洞背后的整个披露过程也是受到严格审查和关注的主题。通常,在开源安全披露场景中,存在某种形式的基于保密协议(NDA)的信息发布在一个封闭的供应商安全社区列表上。一般的想法是,通过合作,多个供应商和服务都可以在公开咨询时准备好补丁。

Heartbleed并没有发生这种情况。

谷歌和云安全供应商CloudFlare是一个非常小的群体,它以某种方式尽早获得了这个漏洞,并且能够在4月7日从OpenSSL公开咨询之前进行修补。

CloudFlare首席执行官马修·普林斯告诉eWEEK,他的公司实际上是在早期通知的参与发现错误的研究人员参加了本周活动。

其他供应商和Web服务,包括云供应商,显然没有得到相同的消息。云服务供应商DigitalOcean是4月7日争夺补丁服务器的人之一。“在我们认为是现代互联网中发现的最严重的漏洞之一,我感觉就像处理整个披露的方式一样“这是非常残酷的,”DigitalOcean的首席技术宣传员约翰埃德加告诉eWEEK。尽管处理敏感的安全披露很困难,但是可以做出更多的努力和更广泛的传播来包括和保护互联网服务,埃德加说。p>

“从我的角度来看,这个芬兰安全公司[Codenomicon]真的觉得Heartbleed是一个以安全为名的营销和公关游戏,”Edgar说。“这太可惜了,可能会鼓励其他人同样如此。“

文章链接地址:http://www.cywimg.com/qiquchongwu/pachong/201909/1461.html

上一篇:B2BRadar
下一篇:没有了

爬虫推荐

爬虫最新更新