r   e   k   l   a   m   a
r   e   k   l   a   m   a

SSL a bezpieczeństwo

Strona główna Aktualności

Pod koniec ubiegłego roku pisaliśmy o sposobie na stworzenie fałszywego certyfikatu SSL wykorzystując słabość algorytmu kryptograficznego MD5. Podczas odbywającej się właśnie konferencji Black Hat w Waszyngtonie, Moxie Marlinspike przedstawił kolejną słabość tego protokołu.

Błąd nie dotyczy o tyle samego protokołu SSL, ile interakcji ze strony użytkownika. Metoda nabiera szczególnego znaczenia, gdy użytkownik odwiedzi niezaszyfrowaną wersję strony, po czym wybierze ikonę prowadzącą do rzekomo bezpiecznej witryny. W tym celu wykorzystywana jest technika przechwytywania ruchu między dwiema stronami bez ich wiedzy, zwaną man in the middle, ale nie stanowi zagrożenia dla serwera. Co ważne, w takiej sytuacji nie zostaje wyświetlony jakikolwiek komunikat z błędem informującym o ważności certyfikatu mimo, że w adresie cały czas wyświetlany jest adres zaczynający się od HTTP.

Marlinspike opublikował również narzędzie SSLstrip. Zmienia one żądania HTTPS na HTTP i stanowi potencjalne zagrożenie dla wszystkich witryn, na których wykorzystywane są połączenia SSL. Jak twierdzi, wykorzystując przedstawioną technikę udało mu się zaatakować serwisy takie jak PayPal, Gmail, Ticketmaster i Facebook. Dzięki temu zdobył dane 117 kont e-mail, 16 numerów kart kredytowych, siedmiu loginów PayPal i 300 różnego rodzaju innych elementów.

Szczegółowy opis błędu znajduje się na stronie konferencji.

r   e   k   l   a   m   a
© dobreprogramy
r   e   k   l   a   m   a
r   e   k   l   a   m   a

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.