常用网站Heartbleed灾情大清查

震惊全球的OpenSSL危机号称是史上最危险漏洞，不少国外网站纷纷修补漏洞，我们也在4月11日上午利用国外常见的Heartbleed Test网站服务，紧急测试了台湾民众最上使用网站。当时发现，在Alexa台湾百大网站排名上，仅有1个网站受到Heartbleed影响；有47％的网站有提供SSL服务但未受到影响，或是已修复此漏洞；52％则是未开放预设SSL服务而测试无反应。

其他包括奇摩、脸书、Google、痞客邦等网站皆属于提供SSL服务而不受到影响的网站。另外，巴哈姆特、Mobile 01、联合新闻网、卡提诺论坛等常见网站则不开放预设SSL服务。

测试所用的Heartbleed Test网站，是目前多数人针对OpenSSL重大漏洞Heartbleed主要使用的测试工具，只要输入网址或主机名称，就可以检测网站是否受Heartbleed影响，预设的测试埠口（Port）为443。

Heartbleed Test会模拟Heartbleed攻击方式，来测试受测的网站是否会受漏洞影响，因为Heartbleed攻击封包会造成网站服务器回传不该提供的内存内容而外泄资讯，若Heartbleed Test测试结果显示有资讯传回，表示该受测网站受到Heartbleed影响，且未修复；反之，则是该受测网站有提供SSL服务但未受到Heartbleed影响，或是已修复该漏洞。还有一种情况是受测网站没有回应，这可能是该网站关闭了预设SSL服务，该网站的安全性也相对较高，不易让Heartbleed攻击得逞。但Heartbleed Test网站的测试无法保证该受测网站一定安全，只能提供初步检测结果作为参考。

因为这次灾情恐波及全球过半网站，特别是涉及线上交易的购物网站，如Yahoo购物网站、淘宝网、支付宝、eBay、Amazon、Paypal等，Yahoo雅虎和淘宝网皆受到此超级漏洞的影响，Yahoo已经在全球发布公告，对Yahoo的主要属性，已经成功进行适当的修正；阿里巴巴则表示，淘宝网已经在第一时间处理和修复OpenSSL问题，目前已经处理完毕；支付宝则声称未受到影响。虽然eBay声称大部分服务未受影响，但是仍有少部分服务需要紧急修补。不过，Amazon、Paypal则表示购物网站不受影响。

台湾购物网站和网络银行大多不受影响

虽然，国外多家知名购物网站皆受到OpenSSL超危险漏洞影响，但是调查台湾购物网站发现，7-Net、Gohappy、ASAP闪电购物网都没有使用OpenSSL1.0.1至OpenSSL1.0.1f版，所以不受影响。Udn买东西则采用微软加密传输技术，在此次OpenSSL漏洞中，采用微软安全加密技术的网站，都躲过一劫。另外，读册网络书店则使用EV SSL凭证机制，所以不受影响。

台湾Yahoo奇摩则表示，台湾依全球总部政策因应。雅虎全球已发布公告，该公司团队已对雅虎的主要属性成功进行适当的修正。另外，我们也清查了台湾提供网络银行服务的银行后发现，大部分网络银行没有采用OpenSSL1.0.1至OpenSSL1.0.1f版本，所以不受影响。

最好全面更换密码

不过，这个漏洞已经存在超过2年，就算网站现在已经修复了OpenSSL漏洞，但是这些采用了问题OpenSSL版本的网站，过去仍有可能被骇客窃取了账号密码，因此，对民众而言，最好全面更换所有网站服务的账号密码，特别是已经修复问题的网站也要更换密码，例如Google或Facebook的各项服务。而且最好不同服务各自设定不同的密码，避免有单一网站受害外泄了民众的账号密码资料时，而导致其他网站也被骇客入侵。文⊙王宏仁、戴廷芳、胡玮佳