heh.pl
Kanał informacyjny Heh.pl


Poniedziałek 17 grudnia 2018 r.

artykuły | abc komputera (archiwum) | forum dyskusyjne | redakcja


Wtorek, 17 marca 2015, 13:10

Microsoft stara się zablokować fałszywy certyfikat HTTPS

Za pomocą fałszywego certyfikatu SSL można wykonać atak typu man-in-the-middle. Certyfikat został wydany dla witryn live.fi oraz www.live.fi. To adresy zarezerwowane dla usług Windows Live.
Certyfikat został już unieważniony przez Comodo, w której imieniu go wydano. Jednak, biorąc pod uwagę łatwość, z jaką można ominąć takie unieważnienie, istnieje spore ryzyko, że przestępcy będą mogli z niego korzystać.

Problem ze wspomnianym certyfikatem to kolejny już dowód na słabość protokołu SSL, który jest de facto internetowym standardem używanym do szyfrowania ruchu. Już w 2009 roku znany badacz Moxie Marlinspike wykazał, że przestępcy mogą w bardzo prosty sposób oszukać wykorzystywane przez przeglądarki listy ważnych certyfikatów. Dzieje się tak, gdyż przeglądarka, łącząc się z serwerem na którym przechowywane są dane o certyfikatach uzna certyfikat za ważny jeśli nie uzyska dostępu do serwera. Wystarczy zatem spowodować, by informacja do przeglądarki nie dotarła i można przeprowadzić atak za pomocą fałszywego certyfikatu.

Na razie nie wiadomo, w jaki sposób doszło do sfałszowania certyfikatu. Z informacji przekazanych przez Microsoftu wynika, że wskutek błędu w systemie pocztowym ktoś nieuprawniony uzyskał dostęp do konta w domenie live.fi.
Słabość systemu cyfrowych certyfikatów polega też na tym, że dość łatwo jest taki certyfikat uzyskać, ale trudno go unieważnić. Jedynym skutecznym sposobem unieważnienia certyfikatu jest opublikowanie odpowiedniej aktualizacji przez producentów przeglądarek. Po jej zainstalowaniu przeglądarka nie dopuści do skorzystania ze sfałszowanego certyfikatu.

Mariusz Błoński


Wersja do druku
Poleć znajomym: Udostępnij

Podobne tematy


Starsze

13.03.2015 r.

WD: Najbardziej energooszczędne 3,5-calowe dyski twarde w historii, 11:03

Trojan rozwiązuje CAPTCHA, 11:01


Nowsze

17.03.2015 r.

Google wywiera nacisk na użytkowników Firefoksa, 13:11

18.03.2015 r.

Windows 10 będzie dostępny już tego lata na całym świecie, 10:41


Redakcja nie ponosi odpowiedzialności za wypowiedzi Internautów opublikowane na stronach serwisu oraz zastrzega sobie prawo do redagowania, skracania bądź usuwania komentarzy zawierających treści zabronione przez prawo, uznawane za obraźliwie lub naruszające zasady współżycia społecznego.


Brak komentarzy. Może warto dodać swój własny?



Autor:  








Polecamy IQ.pl


| ?> Copyright © 2002-2018 | Prywatność | Load: 1.61 | SQL: 15 | Uptime: 31 days, 11:18 h:m | Wszelkie uwagi prosimy zgłaszać pod adresem eddy@heh.pl