首先，這種漏洞攜帶一些有意思的攻擊手段，當(dāng)然，對(duì)于那些不幸中招的人產(chǎn)生了嚴(yán)重影響。盡管如此，為了使攻擊者能夠利用此漏洞，黑客需要使用其他漏洞來(lái)實(shí)現(xiàn)MITM訪問(wèn)。當(dāng)然，如果用戶擁有本地子網(wǎng)接入或者黑客通過(guò)DNS欺騙的方式的話都可以輕松進(jìn)行MITM訪問(wèn)，但是這些要求本身已經(jīng)增加了黑客利用漏洞的難度。

現(xiàn)在，讓我們回顧一下有關(guān)該漏洞的五種傳言：

傳言一：用戶不要再信任在線銀行和網(wǎng)絡(luò)零售商提供的HTTPS鏈接。

糾正： 用戶不需要對(duì)這一點(diǎn)感到恐慌。因?yàn)楹诳腿绻眠@一漏洞，首先要有能力執(zhí)行MITM攻擊。值得一提的是，許多金融機(jī)構(gòu)有一套方案來(lái)確保你是否是他們的客戶。因此，雖然在使用互聯(lián)網(wǎng)的時(shí)候要時(shí)刻保持安全意識(shí)和警惕心，但是也不需要比以往感到恐懼。

傳言二：TLS加密不起作用。

糾正：該漏洞并沒(méi)有賦予黑客讀取加密數(shù)據(jù)的能力。它僅允許明文數(shù)據(jù)被插入加密對(duì)話中。TLS提供的加密強(qiáng)度沒(méi)有受到此漏洞的影響。

傳言三：OpenSSL發(fā)布了針對(duì)該漏洞的補(bǔ)丁。

糾正：OpenSSL團(tuán)體 發(fā)布了暫緩措施，它可以讓管理員關(guān)閉SSL重啟對(duì)話。對(duì)于我們來(lái)說(shuō)，有必要清楚意識(shí)到該措施很大程度上未經(jīng)測(cè)試，它對(duì)用戶，應(yīng)用程序和其他服務(wù)器的影響還是個(gè)未知數(shù)。任何考慮實(shí)施此措施的人，應(yīng)該在非生產(chǎn)系統(tǒng)中先對(duì)它進(jìn)行充分測(cè)試。

傳言四：黑客正積極利用這一漏洞。

糾正： 目前為止，并沒(méi)有證據(jù)能證明這一點(diǎn)。許多供應(yīng)商和其他感興趣的團(tuán)體在謀求合作，并對(duì)該漏洞的使用進(jìn)行積極監(jiān)控。注意，由于攻擊代碼已經(jīng)被公布，所以這一傳言有可能成為事實(shí)。

言五：這一漏洞僅影響HTTP數(shù)據(jù)。

糾正：它并非是HTTP特有的，而是針對(duì)TLS的漏洞。很多協(xié)議

以各種方式部署了TLS。現(xiàn)在，證實(shí)了在HTTP中存在漏洞

但是對(duì)于其他使用TLS的協(xié)議的漏洞調(diào)查仍在進(jìn)行中，因此，我們有理由相信其他協(xié)議中也可能出現(xiàn)這一漏洞。

雖然這是一個(gè)很嚴(yán)重的漏洞，但并非傳言中那么可怕。現(xiàn)在，很多供應(yīng)商不止對(duì)各種攻擊手段進(jìn)行評(píng)估，而且也從回歸測(cè)試和互用性測(cè)試兩方面進(jìn)行高質(zhì)量補(bǔ)丁的開(kāi)發(fā)。這不是個(gè)簡(jiǎn)單的過(guò)程，因?yàn)橛泻芏喾NTLS部署，而且可能有數(shù)千種產(chǎn)品使用了其中一個(gè)或多個(gè)部署。請(qǐng)注意，這是一個(gè)TLS漏洞，而不但只關(guān)乎HTTP。其他協(xié)議也可能受到影響。

ICASI(互聯(lián)網(wǎng)安全改進(jìn)行業(yè)聯(lián)盟)一直以來(lái)都在此事件中扮演著管理者和協(xié)調(diào)員的角色。許多非聯(lián)盟供應(yīng)商也牽涉其中，而ICASI歡迎所有有著直接利害關(guān)系的廠商和個(gè)人加入。

ICASI于11月11日發(fā)布了一項(xiàng)建議，建議的核心部分指向了暫緩措施和偵查配件。除此之外，我們還想向大家推薦一款由Leviathan Security研發(fā)的工具，它可以在任何Windows系統(tǒng)上運(yùn)行。該工具可以查探，記錄并阻止?jié)撛诘脑囂叫怨簟uniper Networks可以為這款工具提供技術(shù)支持。

購(gòu)買了IDP等設(shè)備的Juniper客戶也具備偵查配件。Juniper客戶有兩個(gè)可用的攻擊對(duì)象。

SSL：Key Renegotiation——可用來(lái)偵查那些有可能是試探性攻擊的關(guān)鍵對(duì)話重啟。注意，在對(duì)策略設(shè)定任何攔截規(guī)則前要先測(cè)試自己的特定環(huán)境。

HTTP：Request Injection——只有加載私有SSL密鑰的Juniper設(shè)備才可用來(lái)檢查SSL流量。如果用戶的IDP版本在 4.1以上，就可以用它來(lái)識(shí)別并攔截攻擊。