LINUX.ORG.RU
ФорумTalks

Обнаружены проблемы с безопасностью в протоколе SSL


0

0

Эксперты Дан Каминский и Лен Сассман (Dan Kaminsky, Len Sassaman) обнаружили проблемы с безопасностью в шифровальном протоколе SSL (Secure Sockets Layer), который используется для безопасных соединений в Интернете, сообщает ITNews .

Эти дыры дают возможность хакерам похищать пароли и перехватывать проводимые через Интернет платежи, объявили эксперты на проходящей в Лас-Вегасе конференции по компьютерной безопасности Black Hat.

По утверждению экспертов, подобное проникновение подвергшийся атаке пользователь обнаружить не может.

Проблема существует для пользователей браузеров IE и Firefox 3, а также мессенджеров, предупреждают специалисты.

http://itoday.ru/news/21767.html

★★★★
Ответ на: комментарий от ent4jes

> А что Опера и Сафари по выше названым протоколам не работают?

Их доля ничтожно мала, так что не заслуживает упоминания.. ;)

Bod ★★★★
() автор топика
Ответ на: комментарий от ent4jes

> А что Опера и Сафари по выше названым протоколам не работают?

Не, просто авторы других браузеров не знают.

Ximen ★★★★
()

Емнить, вспомнили проблемы нулевого байта. Эти "дыры" больше чем уверен уже фиксанули или планируется фиксануть.

gh0stwizard ★★★★★
()

МУАХАХАХАХАХАХАХА!

http://itnews.com/exploits-vulnerabilities/6605/more-holes-found-webs-ssl-sec...

<Ъ>He found that if he created certificates for his own Internet domain that included null characters -- often represented with a \0 -- some programs would misinterpret the certificates.</Ъ>

Мы обнаружили, что правила дорожного движения неправильны. Этому есть доказательства - пъяные водители часто становятся участниками (виновниками) дорожных происшествий. Несомненно, это вина ПДД.

з.ы. SSL-капец откладывается.

spunky ★★
()

ну, Black Hat вроде всегда была наполнена вот таким вот народцем, как эти, прости господи, специалисты..

volh ★★
()

That's because some programs stop reading text when they see a null character. So a certificate issued to www.paypal.com\0.thoughtcrime.org might be read as belonging to www.paypal.com.

т.е. нужен специально созданый, каким то образом подписаный root CA сертификат + возможность сделать man-in-the-middle атаку

опять таки, сам протокол не подвержен уязвимости, просто общая ошибка дизайна программ, которые не читают сертификат до конца, если встречают символ NULL

Sylvia ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.