我们立即使用新版本的OpenSSL来修补服务器

这次，它突破了我们通常的移动开发新闻，并简要介绍了影响XDA的最新安全漏洞。如果不是，Heartbleed被认为是长时间进入互联网最危险的错误之一。由于XDA的服务器容易受到此漏洞的攻击，我们希望您知道我们已经采取了哪些措施来解决此问题，以及我们将来可以采取哪些措施来缓解此问题。

一旦我们知道了这个漏洞的严重性，我们将使用新版本的OpenSSL修补服务器。我们的一些基础设施使用定制编译的Nginx，它利用了有缺陷的OpenSSL库。其他服务使用操作系统提供的二进制文件(如CentOS或Ubuntu)。这解决了向攻击用户显示随机位的关键问题，然后这些随机位可以被用来窃取会话信息或泄露我们用来加密SSL流量的私有证书。理论上，这意味着如果有人拥有证书并收集我们的流量，他们可以解密证书以查看传输的内容。这种情况不太可能发生，但由于这个错误在OpenSSL中已经活跃了很长时间，值得关注(尤其是考虑到海量数据监控的最新揭露)。

除了运营XDA服务，我们还依赖第三方使用类似CDN的服务通过互联网传输一些流量。即使我们的内部服务已经打了补丁，这个外部服务仍然需要一些额外的时间来修复它的OpenSSL实现。我们和他们开了一张票，几个小时之内他们也提供了解决方案。

在第二步中，我们将使用新的私钥重新生成SSL证书。我们的证书提供商尚未将其发送给我们，因此我们正在等待安装新证书。(请关注这条线。一旦此事件发生，我们将对其进行更新。以防有人能成功窃取我们的私人证书，虽然没有证据表明这种情况发生过。如果你想更偏执，请在安装新证书后设置新密码。

最后，应该指出的是，XDA并不通过SSL(即https)连接传递大部分流量。这主要是由于我们无法控制的因素，这些因素与用户生成的内容、广告和我们正在使用的平台有关。我们的目标之一是最终加密所有流量，我们将继续为此努力。

为了防止你的私人信息被这些漏洞窃取，这里有一个提示：确保使用类似GnuPG的东西加密发送到外部/云服务(包括XDA)的信息。这确保了即使流量被拦截，您的消息也不会被读取，除非拦截者拥有您的个人证书。

　　免责声明：本文由用户上传，与本网站立场无关。财经信息仅供读者参考，并不构成投资建议。投资者据此操作，风险自担。 如有侵权请联系删除！