令人心碎的安全漏洞可能不像想象的那麼危險

在本週出現了大規模的Heartbleed漏洞之後，最大的擔憂之一是該漏洞可能會洩露網站的私有SSL金鑰，這是保護髮送給使用者的資料的綠鎖的金鑰。這尤其危險，因為如果攻擊者確實訪問了這些金鑰，即使在伺服器修補之後，這些金鑰也可能被使用，從而允許在未來數月甚至數年內進行攻擊。...

在本週出現了大規模的Heartbleed漏洞之後，最大的擔憂之一是該漏洞可能會洩露網站的私有SSL金鑰，這是保護髮送給使用者的資料的綠鎖的金鑰。這尤其危險，因為如果攻擊者確實訪問了這些金鑰，即使在伺服器修補之後，這些金鑰也可能被使用，從而允許在未來數月甚至數年內進行攻擊。

“如果可能的話，至少是非常困難的。”

但今天，內容分髮網路CloudFlare宣佈Heartbleed可能根本不允許訪問這些私鑰。在兩周的測試中，該公司一直無法用Heartbleed成功訪問私鑰，這表明攻擊可能根本不可能發生。”研究人員尼克·沙利文寫道：“如果可能的話，這至少是非常困難的。”我們有理由相信。。。如果這是真的，它使《心血》比許多人擔心的危險性要小得多，為被破壞的網站提供了一種拯救的恩典。Sullivan承認，在安全測試中，一些私鑰是透過對Apache伺服器的第一次請求洩露的，但他將此與重新啟動伺服器的過程聯絡起來，這將嚴重限制對外部參與者的暴露。方法也浮出水面，幫助服務判斷攻擊者是否使用該漏洞攻擊了他們的伺服器。”Heartbleed仍然是極其危險的，“執行長Matthew Prince說，”但一些最可怕的恐懼是，像NSA這樣的組織利用它來騙取每個人的私人SSL金鑰，基於這項測試，我們似乎不太可能這樣做。”

這是一場賭註很大的賭博

erratasecurity的羅伯特•大衛•格雷厄姆（Robert David Graham）本週早些時候也得出了類似的結論，他寫了一篇題為“為什麼Heartbleed不洩露私鑰”的帖子，但在面臨安全界的分歧後，他公開收回了這一說法。研究人員在排除攻擊線時一直保持謹慎是可以理解的，因為假陰性可能會使服務運營商產生危險的安全感。不過，在他們第一次接觸到這個bug兩周後，CloudFlare已經準備好取消至少一些警報。

為了證明這一點，CloudFlare設定了一個故意易受攻擊的頁面，並挑戰駭客使用Heartbleed來提取網站的私鑰。這是一場真正利害關係的賭博：如果公司錯了，它將被迅速和公開地揭露出來，就像勘誤表一樣，許多人可能會說這些說法是不負責任的。同時，如果這項研究成立的話，那就意味著心血造成的真正傷害比我們想象的要小得多。現在確定還為時過早，但在經歷了殘酷的一週之後，這條訊息應該會給飽受打擊的管理員帶來一些希望。

更新時間：美國東部時間4月11日中午12:08:00：更新後確認Apache伺服器在第一次請求時洩露了私鑰。

更新時間：美國東部時間4月11日晚上9:39:Cloudflare現在宣告Heartbleed bug已經成功地用於檢索SSL金鑰，儘管它之前聲稱。