В протоколах TLS и SSL найдена серьезная уязвимость

Теги: TLS, SSL, уязвимость

В представленных технических данных сказано, что уязвимость в TLS кроется в процессе аутентификации. Потенциальный злоумышленник может вторгнуться в сессию легитимного пользователя и успешно перехватывать данные от пользователя и сервера.

Серьезная уязвимость была обнаружена в протоколах TLS и SSL, используемых для криптографической защиты веб-страниц и данных, передаваемых на сервер. Специалисты по безопасности из компании PhoneFactor Марш Рей и Стив Диспенса обнародовали информацию об уязвимостях в обеих протоколах.

Исследователи заявили, что уязвимость в SSL была найдена ими еще в августе, а в TLS - в начале сентября. В представленных технических данных сказано, что уязвимость в TLS кроется в процессе аутентификации. В результате злоумышленник может вторгнуться в сессию легитимного пользователя и успешно перехватывать данные от пользователя и сервера.

Проблема кроется в так называемой "дыре аутентификации": во время процесса криптографической аутентификации происходит серия электронных обменов контрольными данными между клиентом и сервером. Однако злоумышленник может подменить пакеты и нарушить процесс аутентификации, в дальнейшем пропуская пакеты данных через свой компьютер.

Исследователи добавляют, что уязвимость также позволяет реализовать практическую атаку против защищенного протокола https, представляющего собой комбинацию базового веб-протокола и TLS. Эксперты говорят, что проблема для большинства крупных пользователей довольно серьезная, так как популярность SSL и TLS очень и даже если сейчас обновить данные протоколы, то обновление многочисленного программного обеспечения с поддержкой данных технологий займет какое-то время.


или введите имя

CAPTCHA
Страницы: 1  2  3  4  
Евгений Ваганович
06-11-2009 14:49:03
новость изложена не совсем корректно - в части возможности подмены пакетов - см. подробнее на опеннет
0 |
ев
06-11-2009 15:02:30
Опенсорсные разработки не умеют подменивать пакеты?
0 |
Bad-XxX
07-11-2009 19:10:50
Могу ошибаться, но по-моему некоторые антивири именно таким методом с давних времён проверяют траффик по ХТТПС. Если так, то в чём суть этой новости, изобретение велосипеда?
0 |
79293
06-11-2009 15:02:18
новость в своём стиле... всё наперепутанно. автор-темы походу вообще недогнал сам о чём написал Исследователи добавляют, что уязвимость также позволяет реализовать практическую атаку против защищенного протокола https, представляющего собой комбинацию базового веб-протокола и TLS HTTPS работает на SSL, а не TLS то что протоколы похожы это ещё не обозначает что это одно и тоже
0 |
11
06-11-2009 15:24:04
ты тупой и ты линупсятник. открой gmail.com только открой оперой а не своим нищебродным фуфлофоксом. какой протокол написан? и на большинстве нормальных сайтов тоже TLS так-то
0 |
EndUser
10-11-2009 10:38:13
TLS v1.0 128 bit ARC4 (1024 bit RSA/SHA)
0 |
sdv
06-11-2009 20:36:30
TLS. RFC2818 Второму отписавшемуся могу заметить: 1. Учитесь себя вести 2. Определение SSL или TLS по браузеру - это какое-то суеверие. Учитесь использовать стандарты или RFC.
0 |
Пафнутий
06-11-2009 15:06:53
TLS = SSL 3.0
0 |
00221
06-11-2009 15:18:34
не пори чушь
0 |
00221
06-11-2009 15:19:44
беру свои слова обратно
0 |
00221
06-11-2009 15:20:19
ьшуч ироп ен
0 |
sdv
06-11-2009 20:39:57
Расскажите это людям, писавшим RFC2818 This memo describes how to use TLS to secure HTTP connections over the Internet. Current practice is to layer HTTP over SSL (the predecessor to TLS), distinguishing secured traffic from insecure traffic by the use of a different server port. This document documents that practice using TLS. TLS был создан на базе SSL3, и различия там небольшие, но есть.
0 |
Шуршаков
06-11-2009 18:06:10
Блин... Откріли Америку! Давно о них извесно, и никто ничего не может зделать, ибо так оно устроено изначально.
0 |
Учитель
06-11-2009 19:09:58
Марш учить русский язык
0 |
06-11-2009 18:10:17
Новость хорошая, наверняка теперь виндузятников будут трахать с удвоенной силой!
0 |
Страницы: 1  2  3  4