4月8日晚间消息，应用范围极广的安全协议OpenSSL昨晚爆出本年度最严重的安全漏洞。此漏洞在黑客社区中被命名为“心脏出血”，利用该漏洞，黑客坐在自己家里电脑前，就可以实时获取到约30% https开头网址的用户登录账号密码，包括大批网银、购物网站、电子邮件等。

OpenSSL是为网络通信提供安全及数据完整性的一种安全协议，囊括了主要的密码算法、常用的密钥和证书封装管理功能以及SSL协议，目前正在各大网银、在线支付、电商网站、门户网站、电子邮件等重要网站上广泛使用。

无论用户电脑多么安全，只要网站使用了存在漏洞的OpenSSL版本，用户登录该网站时就可能被黑客实时监控到登录账号和密码。

此次漏洞的成因是OpenSSL Heartbleed模块存在一个BUG，当攻击者构造一个特殊的数据包，满足用户心跳包中无法提供足够多的数据会导致memcpy把SSLv3记录之后的数据直接输出，该漏洞导致攻击者可以远程读取存在漏洞版本的openssl服务器内存中长大64K的数据。

据了解，今天下午，大量网站已开始紧急修复此OpenSSL高危漏洞，但是修复此漏洞普遍需要半个小时到一个小时时间，大型网站修复时间会更长一些。

不过，试用微软、思科、苹果系统作为后端的网站大可不必在意，因为大部分商业公司使用的SSL加密都是付费的，与本次爆出漏洞的OpenSSL关系不大，真正要小心的是那些使用Linux、mysql、php等开源架构的网站。

[ 本帖最后由 fiendgreed 于 2014-4-9 16:02 编辑 ]

这几天上网支付的要小心了，OpenSSL此漏洞堪称网络核弹，网银、网购、网上支付、邮箱等众多网站受其影响，又得改密码了。

去支付宝和黑东或者亚马逊买就是了，货到付款~ 绝对安全~不过网购本来就不是绝对安全，最好的办法是，不要存太多的钱