□消费者应对

网站修复漏洞后用户需修改密码

360公司技术副总裁谭晓生建议，在4月7日和8日两天登录过存在漏洞的网站的网友，首先需要确认曾经登录的网站是否已经进行了升级修复，可看该网站是否发布相关的公告，也可通过360网站卫士推出的OpenSSL漏洞在线检查工具，输入网址检测网站是否存在该漏洞。如果相关网站已完成了修复，则用户需要将使用过的用户名、密码等个人信息进行修改；如果登录过的网站仍然未能完成修复，“那很遗憾，用户只有坐等对方修复。”

金山毒霸安全专家李铁军表示，对重要服务，要尽可能开通手机验证或动态密码，比如支付宝、邮箱等。

“针对OpenSSL漏洞，黑客的攻击方式是不断发动数据包攻击，每次攻击能够从服务器内存上得到大小为64K的数据，不过获得的数据是零散无序的，黑客想要获得真正有用的信息，需要把累计获得的数据进行整理分析，这需要一个时间过程，因此，在这两天内及时完成密码修改，就不会有太大的问题。”谭晓生提醒说，不过，即便网站完成修复，也并不意味着天下太平了，未来是否有新的危险还不得而知。

此外，在网站漏洞修复前，不要网购或网上支付，以免受到损失。一个密码的使用时间不宜过长，超过3个月就该换掉了。

什么是SSL？

SSL是一种流行的加密技术，可以保护用户通过互联网传输的隐私信息。网站采用此加密技术后，第三方无法读取你与该网站之间的任何通讯信息。在后台，通过SSL加密的数据只有接收者才能解密。

SSL最早在1994年由网景推出，1990年代以来已经被所有主流浏览器采纳。

什么是“心脏出血”漏洞？

SSL标准包含一个心跳选项，允许SSL连接一端的电脑发出一条简短的信息，确认另一端的电脑仍然在线，并获取反馈。研究人员发现，可以通过巧妙的手段发出恶意心跳信息，欺骗另一端的电脑泄露机密信息。受影响的电脑可能会因此而被骗，并发送服务器内存中的信息。

谁发现的这个问题？

该漏洞是由Codenomicon和谷歌安全部门的研究人员独立发现的。为了将影响降到最低，研究人员已经与OpenSSL团队和其他关键的内部人士展开了合作，在公布该问题前就已经准备好修复方案。