随着关于心脏病的所有喋喋不休的讨论,很难找到有关OpenSSL被利用的心跳扩展的确切信息。
此外,是否可以为Apache w / mod_ssl禁用它而无需使用-DOPENSSL_NO_HEARTBEATS建议的{{1}}标志重新编译?{/ 3}}
答案 0 :(得分:12)
Heartbeat是一种回声功能,其中任何一方(客户端或服务器)请求回送它发送给另一方的大量字节数据。这个想法似乎是可以用作保持活动的功能,回声功能可能意味着允许验证两端是否继续正确地处理加密和解密。当然,问题是在最近的补丁之前,OpenSSL并没有防止发回比首先提供的数据更多的数据。我真的不知道心跳扩展在应用程序中实际使用的位置,因为大多数需要它的通信(例如websockets)都依赖于它们在更高级别上实现的保持活动功能。
我无法回答你的第二个问题---但如果答案是肯定的话会让我感到惊讶。
答案 1 :(得分:4)
试试心跳的信息: http://www.troyhunt.com/2014/04/everything-you-need-to-know-about.html
我不是一个真正的阿帕奇家伙,我认为旗帜有效,但可能会有性能损失。建议是重新编译。还要与您的开发人员讨论发送电子邮件,您可能需要考虑要求您的用户更改密码 - 只是为了安全起见。我已经收到了几封服务电子邮件
答案 2 :(得分:4)
您可以通过阅读RFC6520 https://tools.ietf.org/html/rfc6520找到有关TLS和DTLS心跳扩展的所有详细信息。
答案 3 :(得分:2)
观看此视频。这解释了第一部分中的心跳是什么,然后解释了心跳。 http://vimeo.com/91425662