Rails开发人员是否需要根据OpenSSL Heartbleed漏洞进行任何特殊更改或考虑?
任何核心Rails库是否依赖受影响的OpenSSL版本?
答案 0 :(得分:2)
据我了解,不。 Rails本身并不依赖于openssl。相反,它基于rails应用程序所在的机器。 Windows和Mac OSX可能不受影响,因为默认情况下它们没有openssl。然而,许多形式的linux都使用libssl和openssl软件。这究竟意味着什么?
如果您担心自己的个人电脑,如果使用Windows或Mac和Chrome,则不太可能容易受到攻击。 (我不确定firefox或IE)。
如果您担心某个服务器上的应用程序,那么您需要确保服务器不通过检查系统库来自行使用openssl。 (或检查版本是否为新/您使用-DOPENSSL_NO_HEARTBEATS标志重新编译openssl。)
如果您无法检查系统(例如使用远程托管),您可以查看网站的ssl证书,并确保它是在2014年4月7日之后发布的。
如果你真的不了解别人的网站,想要检查一下你可以使用this vulnerability checking tool
另外,如果您在任何网站上重新使用密码,或者认为您曾经使用过一段时间的密码(可能曾经放入不安全的网站),那么您应该将密码更改为新的密码他们无论如何,定期更新密码是一种很好的做法。