1. 背景情况

　　背景信息1：首先回顾3条新闻

　　[新浪科技讯]4月8日晚间消息，安全协议OpenSSL今日爆出本年度最严重的安全漏洞。此漏洞在黑客社区中被命名为“心脏出血”，利用该漏 洞，黑客坐在自己家里电脑前，就可以实时获取到约30%https开头网址的用户登录账号密码，包括大批网银、购物网站、电子邮件等。

　　[光明日报]据统计，仅7日、8日，就有共计约2亿网友访问了存在OpenSSL漏洞的网站，但其中有多少人被盗取信息仍是未知数。

　　[外媒] 加拿大官员周三表示，上周对国税部门发起“心脏出血”漏洞攻击，并成功窃取900位公民隐私数据的黑客目前已被抓到。首位“心脏出血”攻击者被捕。

　　小结一下：最近有一个极其严重的安全事件发生，关系到我们每个人，我们将为此遭受到什么损失还难以预测，但真真切切已经有人开始为此买单了。(IP、IC、IQ卡，赶紧修改你密码)

　　背景信息2：什么是OpenSSL?

　　SSL是一种基于加密的安全通信技术，OpenSSL是一种开放源代码的SSL实现。(其实就是计算机上用的密码锁)

　　因为源代码都是公开的，OpenSSL应用特别广泛，“毫无保留”的态度往往容易取得大家的信任。

　　大家看过魔术表演吧，有时不能完全相信表面看上去真实的东西。

　　背景信息3：“心脏流血”是一个什么漏洞?

　　SSL标准包含一个“心跳”选项，通信双方可以通过互相发送短消息来告知对方“人在呢”，以便在不传输数据时也保持连接。“心脏出血”漏洞就 是，如果发送精心设计的特定信息，可以使对方因“精神错乱”而提供内存中的一段数据，如果不断这样“刺激”对方，就能获得大量内存数据，从而可能获得敏感 信息。

　　(其实就是暗号机制有问题。暗号“鸡肋”，回答“明白”。你要说“鸡翅”，他就晕了，然后可能告诉你晚上和谁约会。)

　　背景信息4：谁发现的这个问题?

　　Google的码农，4月7号发现的，媒体4月8号晚公布的。据说“为了将影响降到最低，研究人员已经与OpenSSL团队和其他关键的内部人士展开了合作，在公布该问题前就已经准备好修复方案。”

　　大家有没有觉得这个过程其实是很有问题的?

　　小结：受害者都是最后知情，或永远不知情。

　　背景信息5：危害有多大?

　　全球有2/3的网站使用OpenSSL安全协议，这个漏洞出现于2012年，只是最近被发现，因此目前有2种可能的情形出现：

　　(1)如果你4月7号之后用过网银、电商、翻墙的VPN，那么可能已经中奖了。

　　(2)其实不必担心，因为我们的账号密码早在2012年就被偷了。

　　小结：以后看你还敢再上网!

　　背景信息6：如何善后处理?

　　相当麻烦。

　　(1)检查有哪些存在该漏洞的服务器，升级或者卸载openssl系统。如果继续使用，还要修改系统安全证书的私钥。

　　(2)看看最近哪些用户使用过，通知大家改密码。(2亿人需要修改密码，盛况空前。)

　　(3)以后每次新上线服务器时，都要记得检查有没有这个漏洞。(以后不用了?好主意)

　　小结：痛苦吧!