Rails 开发人员是否需要基于 OpenSSL Heartbleed 漏洞进行任何特殊更改或考虑?
是否有任何核心 Rails 库依赖于受影响的 OpenSSL 版本?
user1454117
问问题
296 次
1 回答
2
据我了解,没有。Rails 本身不依赖于 openssl。相反,它基于 rails 应用程序所在的机器。Windows 和 Mac OSX 可能不受影响,因为它们默认没有 openssl。然而,许多形式的 linux 确实使用 libssl 和 openssl 软件。这到底是什么意思?
如果您担心自己的个人计算机,那么如果您使用 windows 或 mac 和 chrome,则不太可能受到攻击。(我不确定Firefox或IE)。
如果您担心您的应用程序在某处的服务器上,那么您需要通过检查系统库来确保服务器自己不使用 openssl。(或检查版本是否新/您使用-DOPENSSL_NO_HEARTBEATS标志重新编译 openssl。)
如果您无法检查系统(例如使用远程托管),您可以检查网站的 ssl 证书并确保它是在 2014 年 4 月 7 日之后颁发的。
如果你真的不知道别人的网站并且想检查你可以使用这个漏洞检查工具
此外,如果您在任何网站上重复使用密码,或者认为您已经使用了一段时间的密码,您可能曾经将密码放入不安全的网站,那么您应该将密码更改为一组新密码。无论如何,定期更新密码是一种很好的做法。
于 2014-04-18T18:36:07.750 回答