谷歌在SSL web加密發現漏洞“獅子狗”襲擊的細節修復。遠程控制軟件,灰鴿子下載

admin

谷歌在SSL web加密發現漏洞“獅子狗”襲擊的細節修復。遠程控制軟件,灰鴿子下載

谷歌的研究人員已經發現了一個漏洞在一個版本的SSL(安全套接字層)網絡加密協議,允許攻擊者打破其密碼安全。
SSL協議創建一個客戶端和服務器之間的安全連接使用兩個密鑰,一個公開和一個私人——將私人文件,并可見“https”互聯網瀏覽器的URL前綴。
3.0版本問題,SSL,幾乎是15歲但仍廣泛被幾乎所有的網絡瀏覽器所支持。
明顯,SSL 3.0還經營作為一個后備的選擇當瀏覽器試圖解決在HTTPS服務器錯誤。
谷歌安全研究員博多穆勒今天透露,攻擊者可以觸發使用SSL 3.0和利用新發現的漏洞導致連接失敗和強迫瀏覽器重試連接舊的協議版本。
“我們的貴賓犬攻擊(Padding Oracle下調遺留加密)將允許他們,例如,偷“安全”HTTP cookie(或其他bearertokens如HTTP授權頁眉內容),”他在一個顧問。
穆勒說禁用SSL 3.0支持在客戶端和/或服務器足以解決這個問題但是承認它將出現嚴重的兼容性問題。
“因此,我們的建議的反應是支持TLS_FALLBACK_SCSV。這是一個機制,解決了問題重新嘗試連接失敗造成的,因此可以防止攻擊者誘導3.0瀏覽器使用SSL,”他在一篇博客文章中寫道。
“它還阻止降級TLS 1.2到1.1或1.0,所以可能幫助防止未來的攻擊。”
穆勒表示,谷歌的Chrome瀏覽器支持TLS_FALLBACK_SCSV自2月份以來,和公司“好證據”可以使用沒有兼容性問題。
谷歌Chrome也開始測試變化,禁用回退至3.0 SSL從今天起,他說。他預計變化打破一些網站,這將需要更新“迅速”。
穆勒表示,谷歌計劃將支持SSL 3.0完全從客戶的產品“在未來幾個月”。
內容交付網絡和域名服務器提供商CloudFlare迅速宣布禁用SSLv3在其網絡默認為所有客戶。
Mozilla Firefox的主人說SSL在Firefox 3.0將被默認為禁用34歲,定于11月下旬發布。該公司表示Firefox 3.0目前使用SSL HTTPS連接的0.3%左右。
“這是一小部分,但是由于網絡的大小,它仍然每天數以百萬計的交易,”該公司在一篇博客文章中寫道。
Mozilla表示,將另外提供SCSV TLS下調保護機制在Firefox 35歲,并鼓勵Firefox用戶,確保他們的瀏覽器被配置為自動更新。
“用戶不想等到11月25日(默認情況下禁用SSLv3時在Firefox 34),我們已經創建了SSL版本控制Firefox擴展禁用SSLv3立即。”
這不是第一次SSL 3.0被發現是容易受到攻擊——安全問題涉及協議版本提高了無數次。

tonyhuang

要是能有直播游戲就好了。

我們的過去

增加銀幣 沒銀幣了~