Az IT-café cikke szerint már megint feltörték az SSL titkosítást. Természetesen a hír megint kamu, nem törték fel a protokollt, egyszerűen kihasználnak egy olyan rést, amit a böngészők jelenleg nem ellenőriznek és egy kis ügyességgel elhitetik a támadók által generált oldalról, hogy az mondjuk a gmail.com.
A támadás elkerüléséhez elegendő, hogy a böngészők még egy mezőt ellenőrizzenek az SSL-t használó oldalak tanusítványaiban vagy hogy kézzel írjuk be a meglátogatandó oldal címét, esetleg a könyvjelzők közül válasszuk ki.
Az SSL továbbra is biztonságos, mivel nem magában a protokollban találtak hibát, hanem egy egyszerű implementációs hibát használnak ki, a tanusítványok ellenőrzésénél a böngészők figyelmen kívül hagynak egy mező, és emiatt tudunk maguknak hitelesnek látszó tanusítványt generálni. A probléma ott van, hogy a tausítványkiadó cégek sem különösebben törődtek eddig ezzel a mezővel, ezután remélhetőleg majd fognak.
Addig is írjuk be szépen kézzel, hogy https://gmail.com aztán tegyük el könyvjelzőbe és ne használjunk gyanús oldalon található linkeket arra, hogy a netbankunk oldalára ugorjunk.
Akit érdekelnek a technikai részletek, az bővebben olvashat a támadás hogyanjáról itt.
A támadás elkerüléséhez elegendő, hogy a böngészők még egy mezőt ellenőrizzenek az SSL-t használó oldalak tanusítványaiban vagy hogy kézzel írjuk be a meglátogatandó oldal címét, esetleg a könyvjelzők közül válasszuk ki.
Az SSL továbbra is biztonságos, mivel nem magában a protokollban találtak hibát, hanem egy egyszerű implementációs hibát használnak ki, a tanusítványok ellenőrzésénél a böngészők figyelmen kívül hagynak egy mező, és emiatt tudunk maguknak hitelesnek látszó tanusítványt generálni. A probléma ott van, hogy a tausítványkiadó cégek sem különösebben törődtek eddig ezzel a mezővel, ezután remélhetőleg majd fognak.
Addig is írjuk be szépen kézzel, hogy https://gmail.com aztán tegyük el könyvjelzőbe és ne használjunk gyanús oldalon található linkeket arra, hogy a netbankunk oldalára ugorjunk.
Akit érdekelnek a technikai részletek, az bővebben olvashat a támadás hogyanjáról itt.
Megjegyzések
Megjegyzés küldése