Data: 2011-09-22 06:13:54 | |
Autor: Kamil Jońca | |
TLS/SSL złamane? Będzie się działo | |
xbartx <bart@hashzero.net> writes:
"Lada dzień, Thai Duong i Juliano Rizzo planują zademonstrować narzędzie o nazwie BEAST (Browser Exploit Against SSL/TLS) składające się z kodu JavaScript, który musi uruchomić ofiara oraz sniffera, który przechwytuje i rozszfrowuje zaszyfrowane ciasteczka, dając tym samym atakującemu nieautoryzowany dostęp do konta ofiary w danym serwisie internetowym korzystającym z HTTPS. Według twórców, atak zadziała także na serwery wykorzystujące HSTS (HTTP Strict Transport Security)." Na liście openssl-user twierdzą (nie wczytywałem się, więc mogę coś przekręcić), że ta podatność jest znana dość długo, i że biblioteka ma obejście do tego ("insertion of empty fragments"). I jeśli to nie jest wyłączone opcją, to nie powinno się nic dziać. Podkreślam - nie wczytwyalem się. KJ -- http://sporothrix.wordpress.com/2011/01/16/usa-sie-krztusza-kto-nastepny/ "Nie można wlecieć w trzecie tysiaclecie na drzwiach od stodoły" - biskup polowy WP Sławoj Leszek Głódź. |
|