r   e   k   l   a   m   a
r   e   k   l   a   m   a

Kolejne luki w SSL

Strona główna Aktualności

Dan Kaminsky, który w ubiegłym roku odkrył poważną lukę w systemie DNS oraz Moxie Marlinspike odkryli przed uczestnikami konferencji Black Hat kolejne luki w metodzie weryfikacji autentyczności witryn opierającej się o protokół SSL.

Marlinspike poinformował o odnalezieniu luki umożliwiającej na wykonanie tzw. ataku man-in-the-middle. Umożliwia on podsłuchanie zaszyfrowanych danych dzięki wykorzystaniu mechanizmu automatycznych aktualizacji w przeglądarce Firefox, który polega na SSL. Internet Explorer również jest podatny na tego typu atak, ale jak zaznacza Marlinspike, jest to trudniejsze - przeglądarka Microsoftu stosuje bowiem dodatkowe zabezpieczenia. Prawdopodobnie narażone jest także Chrome, ale nie wykonano analizy i testów na tej przeglądarce. Tak czy inaczej wszyscy producenci powinni według Marlinspike'a wprowadzić zmiany w implementacji SSL.

W międzyczasie Kaminsky zdołał uzyskać od urzędu certyfikacji certyfikat dla domeny, której nie jest właścicielem. Wszystko dzięki luce w protokole X.509 wykorzystywanym w procesie generowania certyfikatów. Do testów użyto nieistniejącej nazwy domeny. Według Kaminskiego, autentyczność witryny obecnie potwierdzają praktycznie jedynie certyfikaty z rozszerzoną weryfikacją (w wielu przeglądarkach podczas odwiedzania takiej witryny pasek adresu zmienia kolor na zielony). Zasugerował także, że sporo tego typu problemów mogłoby być rozwiązanych dzięki szerszemu zastosowaniu DNSSEC.

Exploit dla luki w Firefoksie będzie opublikowany przez Marlinspike'a po wydaniu poprawki przez Mozillę - prawdopodobnie w ciągu tygodnia.

r   e   k   l   a   m   a
© dobreprogramy
r   e   k   l   a   m   a
r   e   k   l   a   m   a

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.