昨天報(bào)道的TLS中間人攻擊 (CNBETA), 今天OpenSSL已經(jīng)有了補(bǔ)丁, 速度挺快.

不過(guò)這個(gè)補(bǔ)丁并不是從協(xié)議上修補(bǔ)了漏洞,而只是默認(rèn)情況下關(guān)閉了renegotiation.我們推薦所有使用OpenSSL的用戶(網(wǎng)站,或者客戶端軟件),盡快下載更新到最新版的OpenSSL. 

下載地址: http://www.openssl.org/source/

當(dāng)然此前也有過(guò)討論, 簡(jiǎn)單地關(guān)閉掉Renegotiation肯定會(huì)在某些應(yīng)用場(chǎng)景下打來(lái)一些功能性的問(wèn)題. 我們推薦在應(yīng)用補(bǔ)丁之前進(jìn)行比較充分的測(cè)試. 同時(shí),即便是出現(xiàn)了功能性問(wèn)題, OpenSSL也為此提供了解決方案, 如果出現(xiàn)問(wèn)題,只需"set a flag and -hup!"

另外, 正如同牛人們(Tom Cross@ISS, Yunshu)指出的那樣, 這個(gè)漏洞也沒(méi)什么大不了, 效果更像是CSRF.

什么是CSRF:

CSRF（Cross-site request forgery跨站請(qǐng)求偽造，也被稱成為“one click attack”或者session riding，通?？s寫(xiě)為CSRF或者XSRF，是一種對(duì)網(wǎng)站的惡意利用。盡管聽(tīng)起來(lái)像跨站腳本（XSS），但它與XSS非常不同，并且攻擊方式幾乎相左。XSS利用站點(diǎn)內(nèi)的信任用戶，而CSRF則通過(guò)偽裝來(lái)自受信任用戶的請(qǐng)求來(lái)利用受信任的網(wǎng)站。與XSS攻擊相比，CSRF攻擊往往不大流行（因此對(duì)其進(jìn)行防范的資源也相當(dāng)稀少）和難以防范，所以被認(rèn)為比XSS更具危險(xiǎn)性。

【編輯推薦】

1. 你用SSL VPN要小心它仍有安全漏洞
2. 網(wǎng)絡(luò)安全之TCP端口作用、漏洞及操作
3. FreeBSD安全連接方式SSL