我已阅读http://heartbleed.com/并进行了广泛搜索,我无法理解这一基本观点。
例如,维基百科显示攻击者向易受攻击的服务器发送伪造的心跳请求并获取一堆私人数据(包括SSL密钥等): https://en.wikipedia.org/wiki/Heartbleed
然而,我的问题是:这个攻击者可以是任何人吗?或者攻击者是否已经需要访问服务器上的帐户?
我很惊讶我无法找到此信息,因为在我看来,答案有助于澄清给定服务器的漏洞的重要性。
例如:如果您有一个小型“私人”服务器,其帐户仅限于遵循良好安全措施的受信任人,并且您有理由确定这些帐户未受到损害,这是否意味着您(很可能)在明确?或者攻击者是否有办法在没有登录的情况下获取数据?
答案 0 :(得分:0)
任何可以连接到服务器的人都可以获得泄露的信息。利用Heartbleed最可能的方法是使用HTTPS连接到您的Web服务器。由于加密流量通常由OpenSSL处理,因此您可以获取用于加密流量的密钥并自行解密。要使用该漏洞,您不需要在服务器上拥有用户帐户。