这次,它突破了我们通常的移动开发新闻,并简要介绍了影响XDA的最新安全漏洞。如果不是,Heartbleed被认为是长时间进入互联网最危险的错误之一。由于XDA的服务器容易受到此漏洞的攻击,我们希望您知道我们已经采取了哪些措施来解决此问题,以及我们将来可以采取哪些措施来缓解此问题。
一旦我们知道了这个漏洞的严重性,我们将使用新版本的OpenSSL修补服务器。我们的一些基础设施使用定制编译的Nginx,它利用了有缺陷的OpenSSL库。其他服务使用操作系统提供的二进制文件(如CentOS或Ubuntu)。这解决了向攻击用户显示随机位的关键问题,然后这些随机位可以被用来窃取会话信息或泄露我们用来加密SSL流量的私有证书。理论上,这意味着如果有人拥有证书并收集我们的流量,他们可以解密证书以查看传输的内容。这种情况不太可能发生,但由于这个错误在OpenSSL中已经活跃了很长时间,值得关注(尤其是考虑到海量数据监控的最新揭露)。
除了运营XDA服务,我们还依赖第三方使用类似CDN的服务通过互联网传输一些流量。即使我们的内部服务已经打了补丁,这个外部服务仍然需要一些额外的时间来修复它的OpenSSL实现。我们和他们开了一张票,几个小时之内他们也提供了解决方案。
在第二步中,我们将使用新的私钥重新生成SSL证书。我们的证书提供商尚未将其发送给我们,因此我们正在等待安装新证书。(请关注这条线。一旦此事件发生,我们将对其进行更新。以防有人能成功窃取我们的私人证书,虽然没有证据表明这种情况发生过。如果你想更偏执,请在安装新证书后设置新密码。
最后,应该指出的是,XDA并不通过SSL(即https)连接传递大部分流量。这主要是由于我们无法控制的因素,这些因素与用户生成的内容、广告和我们正在使用的平台有关。我们的目标之一是最终加密所有流量,我们将继续为此努力。
为了防止你的私人信息被这些漏洞窃取,这里有一个提示:确保使用类似GnuPG的东西加密发送到外部/云服务(包括XDA)的信息。这确保了即使流量被拦截,您的消息也不会被读取,除非拦截者拥有您的个人证书。