Уязвимость открывает хакерам доступ к зашифрованным данным

24.10.2014


Появилась информация о том, что шифрование SSL, на которое все уповали как на средство безопасного общения в сети Интернет, имеет уязвимость. Сегодня ученые из лаборатории Google заявили о том, что они обнаружили баг в протоколе SSL 3.0. Эта уязвимость может быть использована злоумышленниками для того, чтобы перехватывать критические данные, которые в нормальном своем состоянии должны быть зашифрованы на пути между клиентом и сервером.

Такая уязвимость сначала позволяет атакующей стороне исполнить «танец даунгрейда», который говорит клиенту о том, что сервер не поддерживает более безопасный протокол TLS и таким образом заставляет его соединяться с помощью SSL 3.0. После осуществления такого действия атака посредника может расшифровать зашифрованные куки. Google называет такую технологию POODLE.

Другими словами, ваши данные больше не являются зашифрованными. Исследователи из компании Google Бодо Меллер, Тай Дуонг и Кжиштов Котовиц порекомендовали отключить протокол SSL 3.0 на серверах и клиентах. И сервер, и клиент перейдут на куда более безопасный протокол TSL и таким образом уязвимость воспользоваться не представится возможным.

Для конечных пользователей, в том случае, если это поддерживает браузер, необходимо отключить поддержку SSL 3.0 или, что еще лучше, использовать инструменты, которые поддерижвают TLS_FALLBACK_SCSV, который предотвращает атаки с помощью даунгрейда. Google говорит, что начнет тестировать изменения в браузере Chrome, которые отключают использование SSL 3.0, а затем и уберет поддержку SSL 3.0 полностью из всех своих продуктов – это должно произойти уже в ближайшие месяцы. Фактически, уже имеется патч для Chromium, который отключает откат на SSL 3.0.

В ответ на сегодняшние новости, Мозилла планирует отключить поддержку SSL 3.0 в своем браузере Firefox. «SSLv3 будет по умолчанию отключен на Firefox 34, который будет выпущен 25 ноября», – сказала компания Мозилла в посте на своем блоге. Код, который должен отключить протокол, уже будет доступен сегодня в рамках «ночной» сборки.

Всем, кто хочет отключить SSL 3.0 в браузере прямо сейчас, можно порекомендовать сделать это с помощью аддона для Firefox, который называется SSL Version Control.

Изобретенный в 1996 году, протокол SSL предполагает общение без опасения прослушивания в результате того, что информация оказывается зашифрованной.

Комментирование этой статьи закрыто.

Интересное Покупки ТехникаРазное Отдых Статьи Строительство Услуги Общество Хобби Культура Советы Уют