Pierwszy raz akceptowane CaVp wnioskodawca pisze artykuł w The Register o błąd, który wydaje się wpływać na wszystkie przeglądarki i może odszyfrować aktywnej sesji TLS. Z artykułu: "Naukowcy odkryli poważną słabość w praktycznie wszystkie strony internetowe chronione przez Secure Sockets Layer, który umożliwia napastnikowi cicho odszyfrowywania danych jest przepływających między serwera i użytkownika końcowego przeglądarki." Pełne ujawnienie jest zaplanowane na piątek 23 września w Ekoparty konferencji. Należy pamiętać, że dotyczy to jedynie SSL 2.0 i TLS 1.0, niestety większość serwerów WWW są źle skonfigurowane i wciąż akceptują SSL 2.0 i TLS 1.1 i 1.2 nie widziałem ograniczone rozmieszczenie. Praktyczność ataku pozostaje do ustalenia (dla jednego nie jest bardzo szybki, ale jeśli zamiarem jest tylko do odszyfrowania danych w celu późniejszego wykorzystania, który nie jest przeszkodą).
Czytaj więcej o tej historii w Slashdot.
Brak komentarzy:
Prześlij komentarz