首先，這種漏洞攜帶一些有意思的攻擊手段，當然，對于那些不幸中招的人產生了嚴重影響。盡管如此，為了使攻擊者能夠利用此漏洞，黑客需要使用其他漏洞來實現MITM訪問。當然，如果用戶擁有本地子網接入或者黑客通過DNS欺騙的方式的話都可以輕松進行MITM訪問，但是這些要求本身已經增加了黑客利用漏洞的難度。

現在，讓我們回顧一下有關該漏洞的五種傳言：

傳言一：用戶不要再信任在線銀行和網絡零售商提供的HTTPS鏈接。

糾正： 用戶不需要對這一點感到恐慌。因為黑客如果要利用這一漏洞，首先要有能力執(zhí)行MITM攻擊。值得一提的是，許多金融機構有一套方案來確保你是否是他們的客戶。因此，雖然在使用互聯網的時候要時刻保持安全意識和警惕心，但是也不需要比以往感到恐懼。

傳言二：TLS加密不起作用。

糾正：該漏洞并沒有賦予黑客讀取加密數據的能力。它僅允許明文數據被插入加密對話中。TLS提供的加密強度沒有受到此漏洞的影響。

傳言三：OpenSSL發(fā)布了針對該漏洞的補丁。

糾正：OpenSSL團體 發(fā)布了暫緩措施，它可以讓管理員關閉SSL重啟對話。對于我們來說，有必要清楚意識到該措施很大程度上未經測試，它對用戶，應用程序和其他服務器的影響還是個未知數。任何考慮實施此措施的人，應該在非生產系統中先對它進行充分測試。

傳言四：黑客正積極利用這一漏洞。

糾正： 目前為止，并沒有證據能證明這一點。許多供應商和其他感興趣的團體在謀求合作，并對該漏洞的使用進行積極監(jiān)控。注意，由于攻擊代碼已經被公布，所以這一傳言有可能成為事實。

言五：這一漏洞僅影響HTTP數據。

糾正：它并非是HTTP特有的，而是針對TLS的漏洞。很多協議

以各種方式部署了TLS。現在，證實了在HTTP中存在漏洞

但是對于其他使用TLS的協議的漏洞調查仍在進行中，因此，我們有理由相信其他協議中也可能出現這一漏洞。

雖然這是一個很嚴重的漏洞，但并非傳言中那么可怕。現在，很多供應商不止對各種攻擊手段進行評估，而且也從回歸測試和互用性測試兩方面進行高質量補丁的開發(fā)。這不是個簡單的過程，因為有很多種TLS部署，而且可能有數千種產品使用了其中一個或多個部署。請注意，這是一個TLS漏洞，而不但只關乎HTTP。其他協議也可能受到影響。

ICASI(互聯網安全改進行業(yè)聯盟)一直以來都在此事件中扮演著管理者和協調員的角色。許多非聯盟供應商也牽涉其中，而ICASI歡迎所有有著直接利害關系的廠商和個人加入。

ICASI于11月11日發(fā)布了一項建議，建議的核心部分指向了暫緩措施和偵查配件。除此之外，我們還想向大家推薦一款由Leviathan Security研發(fā)的工具，它可以在任何Windows系統上運行。該工具可以查探，記錄并阻止?jié)撛诘脑囂叫怨簟uniper Networks可以為這款工具提供技術支持。

購買了IDP等設備的Juniper客戶也具備偵查配件。Juniper客戶有兩個可用的攻擊對象。

SSL：Key Renegotiation——可用來偵查那些有可能是試探性攻擊的關鍵對話重啟。注意，在對策略設定任何攔截規(guī)則前要先測試自己的特定環(huán)境。

HTTP：Request Injection——只有加載私有SSL密鑰的Juniper設備才可用來檢查SSL流量。如果用戶的IDP版本在 4.1以上，就可以用它來識別并攔截攻擊。