Участники конференции Black Hat обговорили проблемы использования протокола SSL

image

Теги: SSL, трафик, Black Hat

Многие web-ресурсы, декларирующие использование SSL, сознательно не шифруют передаваемые пароли.

Исследователи, принимающие участие в конференции по информационной безопасности Black Hat в Лас-Вегасе выступили с рядом докладов о проблемах безопасности данных, передаваемых через SSL-сертификат.

Система шифрования, применяющая алгоритм с открытым ключем очень широко используется, как большими организациями, так и отдельными пользователями, для обеспечения безопасности передачи данных. Однако согласно отчету сотрудников компании Qualys, только один сайт с поддержкой протокола HTTPS из пяти выполняет корректную переадресацию трафика. Остальные 80 процентов web-сайтов при определенных условиях могут этого не делать. Таким образом, пользователь остается уязвимым к атакам «человек по середине» через такие инструменты, как Firesheep.

По словам генерального директора Филип Кортуо (Philippe Courtot), с тех пор, как несколько лет назад был разработан SSL-протокол, в нем практически не появилось кардинальных изменений. В то же время коммерческие организации часто разворачивают SSL-сервера, даже нормально их не настроив.

Когда пользователь видит в своем web-обозревателе уведомление, которое сообщает об использовании SSL-прокола, он рассчитывает, что вводимые им данные защищены от перехвата. Однако по информации компании Courtot, владельцы многих web-ресурсов сознательно отключают функцию шифрования для передачи учетных данных. Практически 70 процентов web-сайтов, которые были исследованы, обрабатывают процесс авторизации в открытом виде, а практически половина сайтов не шифрует переданные пароли, что позволяет злоумышленникам легко их перехватывать.

Это очень серьезная проблема для пользователей мобильных устройств, считает Жюльен Собри (Julien Sobrier), старший исследователь безопасности компании Zscaler. Не существует пользовательских инструментов для блокировки незашифрованного исходящего трафика, которые способных подсказать владельцу мобильного устройства, что переданная им информация может быть перехваченной.


или введите имя

CAPTCHA
corrector
19-08-2011 09:56:27
"По словам [...], с тех пор, как несколько лет назад был разработан SSL-протокол..." Из википедии: "Протокол SSL был изначально разработан компанией Netscape. Версия протокола 1.0 публично не выпускалась. Версия 2.0 была выпущена в феврале 1995 года..." Видимо, "несколько лет назад" здесь не к месту.
0 |
blablabla
22-08-2011 15:01:23
Здесь многое не к месту, в том числе "ключем" и "по середине".
0 |