阅读时尝试理解所有内容http://heartbleed.com/
这句话 Leaked secret keys allows the attacker to decrypt any past and future traffic to the protected services and to impersonate the service at will听上去还挺严肃的。
现在有许多私人/小型公司网站不一定对其网站进行 SSL 加密。这种恶意行为是否在没有 heartbleed 和 SSL 的情况下也可能发生?如果是这样,是否意味着每个非 SSL 网站都可能是假冒版本?使用 heartbleed 获得的信息是否与黑客在网站未使用 SSL 加密的情况下获得的信息相同,还是更多/更少?
答案1
回答标题问题,就像技术经常出现的情况一样,这取决于。一次心脏出血攻击可以让攻击者返回最多 64k 本应是服务器私有内存的数据,并读取其中存储的任何内容。
那里会存储什么?这要视情况而定。到目前为止,密钥、会话密钥和 HTTPS 有效负载数据是攻击者在返回的数据流中找到的内容。理论上它可以是任何东西,但由于计算机内存分配的方式,它很可能是被攻击服务当时正在考虑的东西:所有服务的加密密钥、Web 服务器的 HTTP 登录、IMAP 服务器的邮件消息等等。我不知道有攻击者导致服务返回除服务相关机密之外的任何其他内容,并且只要这是真的,heartbleed 就不会暴露比用明文形式更糟糕的事情。
Heartbleed 比明文连接更糟糕的一个重要方面是,在加密中,人们有隐私的期望,因此可能会做出在明文下不会做的事情,因此可能更容易暴露。但这是一个社会问题,而不是技术问题。
答案2
是的,非 SSL 连接可以被流量流经的任何路由器/服务器查看,并且由于互联网在理论上是可路由的,所以它可以是任何地方的任何服务器(虽然不是但可能是)。
如果攻击者一直在监控使用恶意路由器/服务器捕获的所有流量,但数据已经过 SSL 加密,那么只要被攻击者没有像终端服务器那样解密数据的密钥,数据本质上就是安全的。
如果攻击者使用 heartbleed 并从目标服务器检索密钥,那么任何加密数据都可以解密。不包括使用增强体质攻击者将无法解密过去的 SSL 会话。(感谢@MichelZ 指出这一点)
使用 SSL 的另一个原因是连接不会被您察觉到或更改。
正如所有安全事务一样,只要有足够资源,所有这些都是没有实际意义的。