我不使用TLS扩展，我是安全的HeartBleed？

Question

我知道该漏洞利用心跳响应，这是一个TLS特性。现在，在测试我的一些重要站点时，有一些措辞让我感到害怕，即：

TLS扩展15 (心跳)似乎是禁用的，因此您的服务器可能没有受到影响。

这是否意味着还有另一个可能与心跳有关的漏洞，或者只是为了留下其他漏洞的可能性，而不让我感到安全呢？

Answer 1

这些“心脏出血”测试服务的工作方式是尝试执行OpenSSL TLS心跳漏洞并查看它是否成功。有三种可能的结果：

1)服务器接受格式错误的“心跳”包并丢弃它。在这种情况下，您可以合理地确定服务器没有受到影响(或者防火墙或其他服务正在保护它)。

2)服务器接受数据包，并在响应中返回随机内存内容。在这种情况下，您肯定知道服务器是易受攻击的。

但是，您遇到了另一种选择：

3)服务器声明它不支持TLS心跳选项。假设服务器是安全的是合理的，但您不能确定。例如，服务器可能正在使用易受攻击的OpenSSL库版本，并且可能被诱骗接受TLS心跳包。