昨天報道的TLS中間人攻擊 (CNBETA), 今天OpenSSL已經有了補丁, 速度挺快.

不過這個補丁并不是從協議上修補了漏洞,而只是默認情況下關閉了renegotiation.我們推薦所有使用OpenSSL的用戶(網站,或者客戶端軟件),盡快下載更新到最新版的OpenSSL. 

下載地址: http://www.openssl.org/source/

當然此前也有過討論, 簡單地關閉掉Renegotiation肯定會在某些應用場景下打來一些功能性的問題. 我們推薦在應用補丁之前進行比較充分的測試. 同時,即便是出現了功能性問題, OpenSSL也為此提供了解決方案, 如果出現問題,只需"set a flag and -hup!"

另外, 正如同牛人們(Tom Cross@ISS, Yunshu)指出的那樣, 這個漏洞也沒什么大不了, 效果更像是CSRF.

什么是CSRF:

CSRF（Cross-site request forgery跨站請求偽造，也被稱成為“one click attack”或者session riding，通常縮寫為CSRF或者XSRF，是一種對網站的惡意利用。盡管聽起來像跨站腳本（XSS），但它與XSS非常不同，并且攻擊方式幾乎相左。XSS利用站點內的信任用戶，而CSRF則通過偽裝來自受信任用戶的請求來利用受信任的網站。與XSS攻擊相比，CSRF攻擊往往不大流行（因此對其進行防范的資源也相當稀少）和難以防范，所以被認為比XSS更具危險性。

【編輯推薦】

1. 你用SSL VPN要小心它仍有安全漏洞
2. 網絡安全之TCP端口作用、漏洞及操作
3. FreeBSD安全連接方式SSL