随着关于 heartbleed 错误的所有喋喋不休,很难找到关于 OpenSSL 被利用的心跳扩展究竟用于什么的信息。
此外,是否可以为带有 mod_ssl 的 Apache 禁用它,而无需-DOPENSSL_NO_HEARTBEATS按照建议 @ http://heartbleed.com/重新编译标志?
15273 次
4 回答
13
Heartbeat 是一种回显功能,其中任何一方(客户端或服务器)都请求回显它发送到另一方的若干字节数据。这个想法似乎是这可以用作保持活动功能,回显功能可能意味着允许验证两端是否继续正确处理加密和解密。当然,问题在于,在最近的补丁之前,OpenSSL 并没有防止发回比最初提供的更多的数据。我真的不知道心跳扩展在应用程序中实际使用的位置,因为大多数需要它的通信(例如 websockets)都依赖于它们自己在更高级别上实现的保持活动功能。
我无法回答你的第二个问题——但如果答案是肯定的,我会感到惊讶。
于 2014-04-10T15:29:34.333 回答
4
试试这个关于心跳的信息: http ://www.troyhunt.com/2014/04/everything-you-need-to-know-about.html
我不是一个真正的 apache 人,我认为该标志有效,但可能会影响性能。建议是重新编译。还与您的开发人员讨论发送电子邮件的问题,您可能需要考虑要求您的用户更改他们的密码 - 只是为了安全起见。我已经收到了几封这样的服务电子邮件
于 2014-04-10T15:27:00.510 回答
4
您可以通过阅读 RFC6520 找到有关 TLS 和 DTLS Heartbeat 扩展的所有详细信息:https ://www.rfc-editor.org/rfc/rfc6520 。
于 2014-04-10T21:09:23.043 回答
2
看这个视频。这解释了第一部分中的心跳是什么,然后解释了心跳。 http://vimeo.com/91425662
于 2014-04-14T05:05:03.670 回答