青椒叔又来大放厥词了。 照例:说主题之前,先付上一个黑客高手的帖子。 Heartbleed ,来自OpenSSL的紧急安全警告:OpenSSL 出现“Heartbleed” 安全漏洞。这一漏洞让任何人都能读取系统的运行内存。已经有了一个紧急补丁,在安装它之前,成千上万的服务器都处于危险之中。 该漏洞在互联网又称为“heartbleedbug” ,中文名称叫做“ 心脏出血” 、““ 击穿心脏”” 等 2014 年4 月9 日,Heartbleed (意为“ 心脏出血” )的重大安全漏洞被曝光,一位安全行业人士在知乎上透露,他在某著名电商网站上用这个漏洞尝试读取数据,在读取200 次后,获得了40 多个用户名、7 个密码,用这些密码,他成功地登录了该网站。 青椒叔还是同样的观点,人无完人,设备也是如此,没有完美的设备,否则,产品和技术就无需进步了。做为厂家、商家,发现问题,及时解决改善,为客户提供更好的使用体验是必须要做的。 从帖子上看出,黑客是借助通讯的数据抓包,然后分析cookie数据,把所有跟令牌相关的数据解析,用户名称有专项定义标示,而加密编码的强度比较弱,就导致黑客很容易破解出用户名和密码。 IT系统的通讯安全,基本原理就是,在设备通讯过程中,用户名和密码,以及数据信息验证是否通过加密机制传输,以及加密机制是否足够强大。 想要安全,NAS的操作系统定制开发,尽量少用通用的指令,会大幅度降低黑客攻击的成功率,但是,这种开发模式势必带来厂家的成本增加,对于世界级的大型厂商,有足够的资源去定制系统,所以,安全性会相对高出很多。
|