Apache 令人心碎,但授权重要吗?
好的,本质上,heartbleed bug是openssl库没有检查心跳请求的实际大小,而是用额外的数据进行响应,发出一些内存垃圾,试图保持其答案与初始请求的大小相同 它是否只与在网站上获得授权的用户有关,或者与任何在该服务上没有帐户且不知道密码的恶意用户有关?换句话说,服务的实际用户比其他人更可能使用这个bug吗 令人心碎,但授权重要吗 匿名访问站点的未经身份验证的用户理论上可以访问服务器进程空间中的任何内存。幸运的是,攻击者似乎无法控制他/她读取的内存区域。攻击者碰巧获得了心跳消息周围的内存(无论该内存位于何处)Apache 令人心碎,但授权重要吗?,apache,openssl,ubuntu-12.04,heartbleed-bug,Apache,Openssl,Ubuntu 12.04,Heartbleed Bug,好的,本质上,heartbleed bug是openssl库没有检查心跳请求的实际大小,而是用额外的数据进行响应,发出一些内存垃圾,试图保持其答案与初始请求的大小相同 它是否只与在网站上获得授权的用户有关,或者与任何在该服务上没有帐户且不知道密码的恶意用户有关?换句话说,服务的实际用户比其他人更可能使用这个bug吗 令人心碎,但授权重要吗 匿名访问站点的未经身份验证的用户理论上可以访问服务器进程空间中的任何内存。幸运的是,攻击者似乎无法控制他/她读取的内存区域。攻击者碰巧获得了心跳消息周围的内存
身份验证通常使用密码进行。授权通常使用令牌或cookie进行。令牌或cookie是成功身份验证的产物。这些秘密也可以在记忆中找到。因此,密码和会话也被重置了。所以连续发送10个这样的请求将从内存的同一部分返回相同的数据,对吗?。。。为什么许多互联网服务要求更改那些不在服务器内存中的密码?@user164863-密码是身份验证,而不是授权。一旦您进行身份验证,您就有权访问资源。经过身份验证后,通常会向您提供令牌或cookie以供后续访问。密码通常不用于后续访问(或在设计良好的系统中不使用)。