Author: acheng

OpenBSD 5.3/5.4/5.5都受到了这次OpenSSL heartbleed漏洞的影响，如果你运行/维护着这些系统，该如何为系统打补丁呢？ 1. 首先，OpenBSD没有二进制的补丁程序，所有补丁都以源码方式发布，因此，打补丁之前你需要下载一份和系统版本对应的源码包，并解压到/usr/src目录下 2. 去对应的系统版本的勘误页面，比如： http://www.openbsd.org/errata54.html 3. 找到对应的补丁程序，里面有介绍如何打这个补丁。比如这次的OpenSSL问题的补丁，对应 OpenBSD 5.4 补丁“007: SECURITY FIX: April 8, 2014” 源码补丁及其介绍： http://ftp.openbsd.org/pub/OpenBSD/patc … nssl.patch 4. 根据其中的介绍，首先下载并应用源码补丁(下载过程略过）： cat 007_openssl.patch | (cd /usr/src && patch -p0) 5. 然后编译并安装libssl： cd /usr/src/lib/libssl/ssl make obj make make…

最近爆出的OpenSSL heartbleed安全漏洞对互联网的安全又敲了一次警钟。鉴于网络已经成为现代人生活中不可或缺的一部分，大家也只能是提高警惕，而且相信这也不会是最后一个安全事件。 根据媒体报道，中国境内受到影响的服务器有30000个左右，不知道这个数字是否准确，考虑到受到影响的最早的OpenSSL版本1.0.1d发布于2013年2月5号，距今一年零二个月，这个数字并不算少。 那么对于普通用户，如果你有网购的习惯，那么在再次登陆之前先确认相关电商网站（包括电子银行业务）已经修复此问题，然后登陆，修改自己的密码，以确保安全。 对于网站维护者，首先确认你系统上的OpenSSL是否受到影响，如果是，尽快升级到已解决此问题的OpenSSL版本（如1.0.1g）。 如何察看你的OpenSSL版本： [acheng@puffy ~]$ openssl version OpenSSL 1.0.0f 4 Jan 2012 漏洞的发现者关于此问题的介绍： http://heartbleed.com/ OpenSSL官方关于此漏洞的介绍： http://www.openssl.org/news/secadv_20140407.txt OpenSSL Security Advisory [07 Apr 2014] ======================================== TLS heartbeat read overrun (CVE-2014-0160) ========================================== A missing bounds check in the handling of…

互联网是一个被审查的州。 无论我们承认自己与否，也不管我们喜欢与否，我们随时随地都在被追踪。 谷歌在其网页上跟踪我们，甚至在它可以访问的其他页面上也一样。 Facebook也在做同样的事情 ，它甚至跟踪非Facebook用户 。 苹果在对iPhone和iPad上跟踪我们。 有记者用了一个工具，称为collusion，来检查谁在跟踪他。在36小时的测试时间内，105家企业跟踪了他的互联网使用记录 。

看了昨天的3.15晚会，才知道利用浏览器cookie获取用户隐私居然成了一门生意 – 这个创新能力可是相当强！！

面对这种情形，作为普通用户我们该怎么办？戒了互联网？因噎废食，显然是反应过度了。作为一个IT行业的从业者，以及安全问题的关注者，我提供一些建议，来减少网络浏览中被追踪的风险，供大家参考。

1. 不要随便在什么网站上都注册。只在你信任或者一定要使用的网站上注册。

2. 注册时尽量不要留下私人信息，尤其是手机号和身份证号码