首先，这种漏洞携带一些有意思的攻击手段，当然，对于那些不幸中招的人产生了严重影响。尽管如此，为了使攻击者能够利用此漏洞，黑客需要使用其他漏洞来实现MITM访问。当然，如果用户拥有本地子网接入或者黑客通过DNS欺骗的方式的话都可以轻松进行MITM访问，但是这些要求本身已经增加了黑客利用漏洞的难度。

现在，让我们回顾一下有关该漏洞的五种传言：

传言一：用户不要再信任在线银行和网络零售商提供的HTTPS链接。

纠正： 用户不需要对这一点感到恐慌。因为黑客如果要利用这一漏洞，首先要有能力执行MITM攻击。值得一提的是，许多金融机构有一套方案来确保你是否是他们的客户。因此，虽然在使用互联网的时候要时刻保持安全意识和警惕心，但是也不需要比以往感到恐惧。

传言二：TLS加密不起作用。

纠正：该漏洞并没有赋予黑客读取加密数据的能力。它仅允许明文数据被插入加密对话中。TLS提供的加密强度没有受到此漏洞的影响。

传言三：OpenSSL发布了针对该漏洞的补丁。

纠正：OpenSSL团体 发布了暂缓措施，它可以让管理员关闭SSL重启对话。对于我们来说，有必要清楚意识到该措施很大程度上未经测试，它对用户，应用程序和其他服务器的影响还是个未知数。任何考虑实施此措施的人，应该在非生产系统中先对它进行充分测试。

传言四：黑客正积极利用这一漏洞。

纠正： 目前为止，并没有证据能证明这一点。许多供应商和其他感兴趣的团体在谋求合作，并对该漏洞的使用进行积极监控。注意，由于攻击代码已经被公布，所以这一传言有可能成为事实。

言五：这一漏洞仅影响HTTP数据。

纠正：它并非是HTTP特有的，而是针对TLS的漏洞。很多协议

以各种方式部署了TLS。现在，证实了在HTTP中存在漏洞

但是对于其他使用TLS的协议的漏洞调查仍在进行中，因此，我们有理由相信其他协议中也可能出现这一漏洞。

虽然这是一个很严重的漏洞，但并非传言中那么可怕。现在，很多供应商不止对各种攻击手段进行评估，而且也从回归测试和互用性测试两方面进行高质量补丁的开发。这不是个简单的过程，因为有很多种TLS部署，而且可能有数千种产品使用了其中一个或多个部署。请注意，这是一个TLS漏洞，而不但只关乎HTTP。其他协议也可能受到影响。

ICASI(互联网安全改进行业联盟)一直以来都在此事件中扮演着管理者和协调员的角色。许多非联盟供应商也牵涉其中，而ICASI欢迎所有有着直接利害关系的厂商和个人加入。

ICASI于11月11日发布了一项建议，建议的核心部分指向了暂缓措施和侦查配件。除此之外，我们还想向大家推荐一款由Leviathan Security研发的工具，它可以在任何Windows系统上运行。该工具可以查探，记录并阻止潜在的试探性攻击。Juniper Networks可以为这款工具提供技术支持。

购买了IDP等设备的Juniper客户也具备侦查配件。Juniper客户有两个可用的攻击对象。

SSL：Key Renegotiation——可用来侦查那些有可能是试探性攻击的关键对话重启。注意，在对策略设定任何拦截规则前要先测试自己的特定环境。

HTTP：Request Injection——只有加载私有SSL密钥的Juniper设备才可用来检查SSL流量。如果用户的IDP版本在 4.1以上，就可以用它来识别并拦截攻击。