close
前幾天openSSL 的「滴血之心」漏洞造成的恐慌幾乎席卷全球,國內外白帽子黑帽子瘋狂刷數據刷積分,各大網站的安全部門也是遇到瞭從未有過的危機。雖然大傢都討論的很熱烈,但對於用戶們來說,隻關心一件事情:我們支付寶裡的錢還安全麼。
除此以外,好奇的人們或許更想知道openSSL的程序員到底犯瞭什麼錯誤,好在有xkcd這樣的geek網站,用最最通俗易懂的方式,向大傢展示瞭這個漏洞的原理和可愛之處。
漫畫解釋 openSSL 的「heartbleed」漏洞
還不明白的同學:所謂heartbleed的說法,源自於「心跳檢測」,就是用戶發通過起TSL 加密鏈接,發起 Client Hello詢問,測服務器是否正常在線幹活(形象的比喻就是心臟脈搏),服務器發回Server hello,表明正常建立SSL通信。每次詢問都會附加一個詢問的字符長度pad length,bug來瞭,如果這個pad length大於實際的長度,服務器還是會返回同樣規模的字符信息,於是造成瞭內存裡信息的越界訪問……
Orignal From: 一張漫畫為你解釋heartbleed漏洞
全站熱搜
留言列表
