这次突破了我们通常的移动开发新闻,简要介绍了影响XDA的最新安全漏洞。如果没有,Heartbleed被认为是很长一段时间以来进入互联网的最危险的错误之一。由于XDA的服务器容易受到此漏洞的攻击,我们想让您知道我们为解决此问题所做的工作以及将来可以采取哪些措施来缓解此类问题。
一旦了解到此漏洞的严重性,我们便立即使用新版本的OpenSSL修补服务器。我们的某些基础架构使用了自定义编译的Nginx,该Nginx利用了有缺陷的OpenSSL库。其他服务使用操作系统提供的二进制文件(例如CentOS或Ubuntu)。这解决了向攻击用户显示随机位的关键问题,然后可以将其用于窃取会话信息或泄露我们用来加密SSL流量的私有证书。从理论上讲,这意味着如果有人拥有该证书并收集了我们的流量,则他们可以解密该证书以查看传输的内容。这是不太可能发生的情况,但是由于此错误在OpenSSL中处于活动状态的时间长,因此值得关注(尤其是考虑到海量数据监视的最新启示)。
除了运行XDA的服务外,我们还依赖第三方使用类似CDN的服务通过Internet承载部分流量。即使我们的内部服务已打补丁,该外部服务仍需要一些额外的时间来修复其OpenSSL的实现。我们和他们一起打开了一张票,几个小时内他们也提供了解决方法。
第二步,我们将使用新的私钥重新生成SSL证书。我们的证书提供商尚未将其发送给我们,因此我们正在等待安装新证书。(请注意此线程,一旦发生此事件,我们将对其进行更新。)以防万一有人能够成功窃取我们的私人证书,尽管没有证据表明发生了这种情况。如果您想让自己更偏执,请在安装新证书后设置新密码。
最后,需要注意的是,XDA不会通过SSL(即 https)连接传递其大部分流量。这主要是由于我们无法控制的因素所致,这些因素与用户生成的内容,广告以及我们正在使用的平台有关。我们的目标之一是最终对所有流量进行加密,并且我们将继续为此而努力。
为避免您的私人消息被此类bug窃取,这里有一个提示:确保使用GnuPG之类的东西对发送到外部/云服务(包括XDA)的消息进行加密。这样可以确保即使拦截了流量也不会读取您的消息,除非拦截方拥有您的个人证书。
