当前位置:主页>科 研>学术交流>

黑客攻破SSL加密,信息安全面临严峻挑战(2)

而在Rizzo的邮件发出几天之后,这一时间就被缩减为10分钟内。

"BEAST如同一个加密的特洛伊木马攻击者将一些JavaScript放入浏览器中,JavaScript与网络检漏器一起攻击你的HTTP链接,"独立安全研究员TrevorPerrin在其邮件中说。"如果这一攻击与宣称的一样速度快且影响广,那么它就肯定是威胁。"

Mozilla和OpenSSL表示这很糟糕

Duong和Rizzo称,对BEAST漏洞的利用会波及所有使用TLS1.0的应用,这样攻击者就可以利用此技巧监视即时通讯中发送的消息以及VPN程序。

安全公司Qualys对前一百万互联网地址使用的SSL产品进行了分析,发现尽管TLS1.1早在2006年就已推出,而且不会被BEAST选定的纯文本攻击影响,但是所有SSL连接都依赖于TLS1.0.

用在MozillaFirefox和GoogleChrome浏览器中部署SSL以及几百万网站用来部署TLS的开源代码库OpenSSL的网络安全服务数据包是罪魁祸首。这两种工具包都没率先提供最新的TLS版本。

Mozilla和其他保留OpenSSL还不需要部署TLS1.2,但是微软的部署稍好一些。微软的IE浏览器和IIS网络服务器中使用了安全的TLS版本,只是不是默认设置。Opera保留了默认部署TLS1.2的浏览器版本。

Qualys工程总监IvanRistic称对TLS1.1和1.2版本的支持几乎不存在。

曾在八月黑帽大会上展示过自己发现的Ristic发现了其他证据证明网站通常会推迟SSL漏洞更新。他得分析指出有35%的网站不久前才为2009年9月就发现的TLS漏洞,而攻击者可能利用这个漏洞将文本注入两个SSL端点之间传输的加密数据中。

Root实验室首席安全顾问NateLawson称,研究指出升级TLS不是件容易的事情,主要是因为几乎每个修补都会影响到一些广泛使用的应用或技术。最近添加到Chrome中的一项技术就显着减少了网站与终端用户间建立加密连接的时间。

Duong和Rizzo认为还有更多例子

"实际上,我们从五月初就开始与浏览器和SSL供应商接触,每个推荐的补丁与现有SSL应用多不兼容,"Duong写道。"阻止人们更新的原因是许多网站和浏览器仅支持SSL3.0和TLS1.0.如果有人将其网站完全升级到1.1或1.2,那就会丧失很多客户。"

 

(责任编辑:安博涛)

分享到:

更多
发表评论
请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
表情:
  • 微笑/wx
  • 撇嘴/pz
  • 抓狂/zk
  • 流汗/lh
  • 大兵/db
  • 奋斗/fd
  • 疑问/yw
  • 晕/y
  • 偷笑/wx
  • 可爱/ka
  • 傲慢/am
  • 惊恐/jk
用户名: 验证码:点击我更换图片
资料下载专区
图文资讯

容器是如何让“一切都是代码”成为现实的

如何快速掌握一门新技术/语言/框架

建高效数据中心有径可循

2015黑帽大会:网络灾难后 重建IT安全

面对DNS劫持 企业移动应用该如何防护?

返回首页 返回顶部