3 月 2 日消息,近日安全研究人员发现 OpenSSL 一个新的安全漏洞 DROWN ,这一漏洞可能使目前至少三分之一的 HTTPS 服务器瘫痪,受影响的 HTTPS 服务器数量大约为 1150 万左右。
据 OpenSSL 安全公告, DROWN 是一种跨协议攻击,如果服务器使用了 SSLv2 协议和 EXPORT 加密套件,那么攻击者就可利用这项技术来对服务器的 TLS 会话信息进行破解。
此外需要注意的是,客户端与不存在漏洞的服务器进行通信时,攻击者可以利用其他使用了 SSLv2 协议和 EXPORT 加密套件(即使服务器使用了不同的协议,例如 SMTP , IMAP 或者 POP 等协议)的服务器 RSA 密钥来对上述两者的通信数据进行破解。
据国外媒体报道,在 Alexa 网站排名中排名靠前的网站都将有可能受到 DROWN 的影响,受影响的网站包括雅虎、新浪、阿里巴巴等在内的大型网站。
在数据安全如此脆弱的今天,企业级软件的安全性又该如何保障?
此前有许多报道说 2016 年是企业级软件的元年,各类 ERP 、 OA 、 CRM 、 SCM 、 PDM 、 BI 软件层出不穷,大多都涉及企业数据的存储,其中企业网盘的存储需求量最大,在数据安全如此脆弱的当下,企业网盘的安全性又该如何保障?
第三方测评提供商 Qualys 的测评报告显示,中国众多企业网盘在数据加密安全性测试中,仅有坚果云( https://www.jianguoyun.com/)一家达到 A 等级,与之相对的, Box 及 Dropbox 等美国企业云盘供应商的测评结果均为 A 等级。
该测评主要反映的是,用户在向云盘服务器上上传下载文件过程中的安全性, A 为最高等级,等级越高,表明用户数据在传输中越安全,不容易受到攻击或者被窃取。
详细测评结果如下:
坚果云测评等级: A 级
够快云盘测评等级: B 级
快盘测评等级: F 级
联想企业网盘测评等级: C 级
亿方云测评等级: F 级
第三方评测机构 Qualys,Inc.链接: https://www.ssllabs.com/ssltest/
Qualys,Inc.是一家专注为云计算领域企业提供安全服务的纳斯达克上市公司。 Qualys 的客户分布广泛,客户资源雄厚,因其测评的公正性及权威性。在福布斯财富 100 强中,有 51%的公司是 Qualys 的用户;而财富 500 强的企业中,超过 34%的客户都是 Qualys 的忠实拥趸。其中包括 Facebook 、 ebay 、思科、微软等。
正如所有互联网产品一样,企业网盘的目的在于为帮助企业解决“互联网+”转型中的一系列问题,而中国众多网盘提供商更应该思考如何才能让企业把文件放心保管在云端这一问题,并提出有效的解决方案。
1
Slienc7 2016-03-03 19:27:04 +08:00
这是我在 V2EX 见过的坚果云被黑的最惨的一次。
|
2
ryd994 2016-03-03 21:18:42 +08:00 via Android
这是我见过的最明目张胆的软文
|