這兩天SSL的事情大家都比較關(guān)注，今天會重點說一下。

1、TLS/SSL安全問題

最近消息說黑客已經(jīng)攻破SSL加密，導(dǎo)致業(yè)內(nèi)一片風(fēng)聲鶴唳。但是什么是通過瀏覽器攻破SSL/TLS（簡稱BEAST），這種攻破是基于什么機制，很多文章解釋的讓人根本看不懂。下面是一個比較簡單的解釋：

大多數(shù)加密方式基于兩種情況：

1、攻擊者不知道加密消息用的密鑰

2、攻擊者不知道被發(fā)送的消息

BEAST攻擊的第一步就是將代碼植入到當前瀏覽器的會話當中，可能通過iframe或XSS來實現(xiàn)；這條代碼造成瀏覽器在SSL通道中傳輸一些已知的純文本，有很多簡單的JavaScript都可以實現(xiàn)這一點；另一方面，攻擊者已經(jīng)通過嗅探或中間人攻擊獲取到了SSL上傳遞過的消息。那么現(xiàn)在有了已知原文本的一段文字，有了加密后的文字，又有了被發(fā)送的消息，就可以通過一些解密手法獲取cookie了。

文章也推薦了一些防護措施，對用戶來說要盡量在離開SSL網(wǎng)站之前進行登出；網(wǎng)站管理員則要確保登出功能的合理性，會話cookie與IP的綁定，以及SSL加密在RC4和AES之間的選擇。

被感染的瀏覽器們（Firefox、IE、Chrome、Opera、Safari）紛紛表示問題不是那么嚴重。而且由于SSL/TLS是一個業(yè)界標準，需要多方共同推進才能解決這個問題。升級到TLS 1.1不會被這個漏洞所影響，但由于大部分SSL連接都是用TLS 1.0，所以暫時還無法成為一個解決方案。（英文來源）

2、Oracle Open World預(yù)覽

Oracle總裁Mark Hurd通過電話對本次的Open World進行了概述。Oracle OpenWorld 2011將在10月2日到6日在舊金山舉辦。

Oracle策略：將覆蓋硬件，操作系統(tǒng)，數(shù)據(jù)庫，中間件，垂直市場領(lǐng)域的應(yīng)用層。

云計算：將會有更多針對SaaS和云計算的聲音。

新技術(shù)：年年更多新技術(shù)。預(yù)計今年總到場人數(shù)將有5萬人。

有關(guān)廠商鎖入：Exadata不會造成鎖入。（英文來源）

3、FreeBSD 9.0 Beta 3發(fā)布

FreeBSD 9.0的第三個Beta開了新分支，現(xiàn)在-current和-stable上都進行統(tǒng)治，不過-current上會有更多的信息。

發(fā)行注記：http://lists.freebsd.org/pipermail/freebsd-stable/2011-September/064030.html

下載地址仍在各個FTP鏡像的如下路徑中：

  amd64: .../releases/amd64/amd64/ISO-IMAGES/9.0/

  i386: .../releases/i386/i386/ISO-IMAGES/9.0/

  ia64: .../releases/ia64/ia64/ISO-IMAGES/9.0/

  powerpc: .../releases/powerpc/powerpc/ISO-IMAGES/9.0/

  powerpc64: .../releases/powerpc/powerpc64/ISO-IMAGES/9.0/

  sparc64: .../releases/sparc64/sparc64/ISO-IMAGES/9.0/

（英文來源） 

【往期系統(tǒng)觀察】

1. 今日系統(tǒng)觀察：GNOME 3.2帶來新文件管理器（09.28）
2. 今日系統(tǒng)觀察：MySQL官網(wǎng)被黑情況（09.27）
3. 今日系統(tǒng)觀察：MySQL走向“開核”（09.23）
4. 今日系統(tǒng)觀察：Win8的安全啟動威脅Linux？（09.22）
5. 今日系統(tǒng)觀察：思科攜手微軟搞Hyper-V（9.21）