0

好的,本质上,heartbleed 错误是 openssl 库没有检查心跳请求的实际大小,而是以额外的数据进行响应,给出了一些内存垃圾,试图保持其答案与初始请求的大小相同。

它是否仅与在网站上获得授权的用户有关,或者任何在该服务上没有帐户且不知道密码的恶意用户可能会开始摸索?换句话说,服务的实际用户是否比其他用户更可能使用此错误?

4

1 回答 1

1

Heartbleed 但是 - 授权重要吗?

匿名访问站点的未经身份验证的用户理论上可以访问服务器进程空间中的任何内存。幸运的是,攻击者似乎无法控制他/她读取的内存区域。攻击者碰巧获得了关于心跳消息的内存(无论该内存碰巧在哪里)。

身份验证通常使用密码进行。授权通常使用令牌或 cookie 进行。令牌或 cookie 是成功认证的产物。这些秘密也可以在记忆中找到。因此,密码和会话也被重置的原因。

于 2014-04-17T04:41:26.473 回答