Обнаружена новая уязвимость в протоколе SSL
Текущий год нельзя назвать удачным для веб-шифрования и безопасности Интернета. В апреле этого года была выявлена серьёзная уязвимость Heartbleed в широко используемом наборе бесплатных инструментов шифрования сайтов OpenSSL. В сентябре в командной оболочке Bash была обнаружена масштабная уязвимость. Теперь Google выявила дыру в уже устаревшем протоколе SSL 3.0, который, впрочем, используется большинством современных браузеров в случае сбоя соединения.
Хакеры могут умышлено вызвать нарушение соединения, после чего веб-обозреватель будет пытаться использовать более старые версии протокола, в том числе 3.0, ставя под угрозу безопасность системы. Как отмечает Google в описании уязвимости, эксплойт может использоваться в атаках методом перехвата сообщений и подмены ключей с целью дешифровки защищённых данных HTTP cookies.
Aurich Lawson / Thinkstock
Чтобы закрыть эту дыру в безопасности, следует отключить поддержку SSL 3.0 или режим CBC-шифрования с его поддержкой. Однако этот шаг вызовет значительные проблемы с совместимостью и отказ работы ряда сайтов. Google пока рекомендует использовать механизм TLS_FALLBACK_SCSV, которые решает проблему повторного соединения и тем самым препятствует хакерам вынуждать браузеры использовать SSL 3.0. Это также запрещает переключение с протокола TSL 1.2 на более ранние версии, чем может помочь избежать будущих атак.
Веб-серверы Google и браузер Chrome ещё с февраля получили поддержку механизма TLS_FALLBACK_SCSV. Кроме того, команда Chrome уже начала тестирование отключения возможности отката к SSL 3.0.
Источник:
Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме
Виджет от SocialMart
© 3DNews
