在阅读http://heartbleed.com/时试图理解一切
这句话Leaked secret keys allows the attacker to decrypt any past and future traffic to the protected services and to impersonate the service at will这听起来很严重。
现在有很多私人/小公司的网站,不一定有他们的网站的SSLencryption。 这种恶意行为也可能没有心血和SSL吗? 如果是这样,这意味着每个非SSL网站可能是一个模拟版本? 信息是否可以获得与黑客可以得到相同的信息,如果一个网站是非SSLencryption或更less/更多?
在回答标题问题时,技术情况往往如此, 这取决于 。 一次单一的心跳攻击可以让攻击者返回64k的应该是服务器的私有内存,并读取存储在那里的东西。
什么将被存储在那里? 这取决于。 到目前为止,攻击者在返回的数据stream中发现了密钥,会话密钥和HTTPS有效载荷数据。 理论上可以是任何事情,但是由于计算机分配内存的方式,很可能是被攻击的服务当时正在考虑的事情:所有服务的encryption密钥,Web服务器的HTTPlogin, IMAP服务器等等。 我不知道任何攻击者已经使服务返回与服务相关的秘密以外的任何其他东西, 只要这是真的,那么心中的暴露并不比以明文方式做任何事情更糟 。
一个重要的方面是,心跳比明文更糟糕的是,用密码来说,人们对隐私有期待,所以可能会以一种他们不会在明文下完成的方式行事,因此更多的是可以暴露的。 但这是一个社会问题,而不是技术问题。
是的,任何路由器/服务器都可以查看非SSL连接,因为stream量可以通过任何路由器/服务器,因为互联网在理论上是可路由的,这可能是任何地方的任何服务器(它不是但可能)。
如果攻击者利用恶意路由器/服务器监视了所有stream量,但数据已经被SSLencryption,那么只要攻击者没有解密数据的密钥,数据本质上是安全的。
如果攻击者使用heartbleed并从目标服务器检索密钥,则任何encryption的数据都可以被解密。 不包括使用PFS的服务器,攻击者将无法解密过去的SSL会话(谢谢@MichelZ的指出)
使用SSL的另一个原因是连接不能被欺骗/改变,而不会发现。
和所有的安全一样,有了足够的资源,所有这些都是没有意义的。