□消費者應對

網站修復漏洞后用戶需修改密碼

360公司技術副總裁譚曉生建議，在4月7日和8日兩天登錄過存在漏洞的網站的網友，首先需要確認曾經登錄的網站是否已經進行了升級修復，可看該網站是否發布相關的公告，也可通過360網站衛士推出的OpenSSL漏洞在線檢查工具，輸入網址檢測網站是否存在該漏洞。如果相關網站已完成了修復，則用戶需要將使用過的用戶名、密碼等個人信息進行修改；如果登錄過的網站仍然未能完成修復，“那很遺憾，用戶只有坐等對方修復。”

金山毒霸安全專家李鐵軍表示，對重要服務，要盡可能開通手機驗證或動態密碼，比如支付寶、郵箱等。

“針對OpenSSL漏洞，黑客的攻擊方式是不斷發動數據包攻擊，每次攻擊能夠從服務器內存上得到大小為64K的數據，不過獲得的數據是零散無序的，黑客想要獲得真正有用的信息，需要把累計獲得的數據進行整理分析，這需要一個時間過程，因此，在這兩天內及時完成密碼修改，就不會有太大的問題。”譚曉生提醒說，不過，即便網站完成修復，也并不意味著天下太平了，未來是否有新的危險還不得而知。

此外，在網站漏洞修復前，不要網購或網上支付，以免受到損失。一個密碼的使用時間不宜過長，超過3個月就該換掉了。

什么是SSL？

SSL是一種流行的加密技術，可以保護用戶通過互聯網傳輸的隱私信息。網站采用此加密技術后，第三方無法讀取你與該網站之間的任何通訊信息。在后臺，通過SSL加密的數據只有接收者才能解密。

SSL最早在1994年由網景推出，1990年代以來已經被所有主流瀏覽器采納。

什么是“心臟出血”漏洞？

SSL標準包含一個心跳選項，允許SSL連接一端的電腦發出一條簡短的信息，確認另一端的電腦仍然在線，并獲取反饋。研究人員發現，可以通過巧妙的手段發出惡意心跳信息，欺騙另一端的電腦泄露機密信息。受影響的電腦可能會因此而被騙，并發送服務器內存中的信息。

誰發現的這個問題？

該漏洞是由Codenomicon和谷歌安全部門的研究人員獨立發現的。為了將影響降到最低，研究人員已經與OpenSSL團隊和其他關鍵的內部人士展開了合作，在公布該問題前就已經準備好修復方案。