资金费率
资金费率热力图
多空比
大户多空比
币安/欧易/火币大户多空比
Bitfinex杠杆多空比
账号安全
资讯收藏
自选币种
亚马逊云服务安全漏洞事件引发的思考
亚马逊网络服务(AWS)是全球最常用的云平台之一。然而,其自定义加密和认证层的安全性并不如最初设想的那样可靠。尽管通过了三项不同的外部渗透测试,但保护AWS的代码库中仍被发现存在潜在漏洞。
s2n加密协议的安全隐患
Amazon的TLS实现最初被设计为一种更安全、更简单的Web会话加密和认证方式。这种名为s2n的实现基于庞大的OpenSSL库,但代码行数不到该库的10%。虽然这最初被吹捧为一项关键的安全特性,但事实证明它可能成为AWS的弱点。
安全研究人员仅用了五天时间就发现了AWS s2n中的漏洞,并向亚马逊工程师提交了报告。事实证明,早在2013年曝光的TLS攻击——被称为"Lucky 13"——可能对保护AWS的加密安全层构成严重威胁。
漏洞的严重性与修复
如果攻击者对AWS实施Lucky 13攻击,他们将能够恢复用于访问网站受限部分的加密浏览器cookie。幸运的是,亚马逊工程师及时应对了这种情况,漏洞很快得到了修补。
尽管这个漏洞如今已不再构成威胁,但这个故事充分说明了提供适当的安全层是多么困难。即使是像亚马逊这样能够雇佣全球最优秀工程师和安全专家的公司,在开发其安全标准时也可能面临重大漏洞。
对加密货币公司的启示
尝试创建现有加密安全标准的新实现并没有错。通过第三方审计和渗透测试来确保整个层的安全是这一概念的最佳方法。然而,即使是这些测试也可能无法发现安全威胁。尽管大多数现代浏览器和平台从一开始就对Lucky 13攻击免疫,但仍有一小部分遗留系统可能构成风险。
像亚马逊这样的公司也可能容易受到此类攻击的事实,给比特币公司提出了一个严肃的问题。由于这些平台涉及保护客户信息和资金,因此确保平台尽可能安全是至关重要的。
如今大多数活跃的比特币公司都依赖于加密安全,现在是确保其实现正确无误的好时机。第三方审计是确保安全按预期工作的好方法,我们只能希望比特币公司尽一切努力保护客户数据和资金的安全。
您对AWS易受这种过时攻击的故事有何看法?您是否担心比特币公司没有提供足够的安全保障?欢迎在评论区分享您的观点!
