heh.pl
Kanał informacyjny Heh.pl


Piątek 29 marca 2024 r.

artykuły | abc komputera (archiwum) | forum dyskusyjne | redakcja


Środa, 2 marca 2016, 07:23

Serwery HTTPS podatne na atak

Eksperci ostrzegają, że nawet 11 milionów witryn jest podatnych na ataki z powodu błędów w HTTPS i innych usługach korzystających z protokołów SSL i TLS.

Zagrożenia atakiem DROWN są związane głównie z wadliwą konfiguracją serwerów. Wiele z takich maszyn wciąż wspiera SSLv2, poprzednika TLS z lat 90. Zapewnianie takiego wsparcia nie ma praktycznego znaczenia, gdyż SSLv2 nie jest obsługiwane przez klientów. Dotychczas jednak sądzono, że samo wspieranie tego protokołu, o którym wiadomo, że ma liczne wady, nie stanowi problemu, gdyż nie jest on używany. Specjaliści stojący za DROWN wykazali, że samo włączenie obsługi SSLv2 zagraża zarówno serwerom jak i ich klientom. Napastnik może bowiem wykorzystać ten fakt do odszyfrowania komunikacji prowadzonej za pomocą TLS. Wystarczy, że wyśle pakiet testowy na serwer wykorzystujący SSLv2 i używający tego samego prywatnego klucza, jaki jest wykorzystywany do komunikacji TLS.

Serwer jest podatny na atak DROWN jeśli dopuszcza połączenia SSLv2 lub też jeśli jego prywatny klucz jest używany na jakimkolwiek serwerze dopuszczającym SSLv2. Wiele firm używa tych samych kluczy i certyfikatów np. na serwerach web i serwerach pocztowych. Jeśli więc serwer pocztowy dopuszcza SSLv2, a serwer web nie, to możliwe jest wykorzystanie serwera pocztowego do złamania komunikacji TLS na serwerze web.

Aby ochronić się przed atakiem właściciele serwerów powinni być pewni, że ich prywatne klucze nie są używane na żadnej maszynie zezwalającej na połączenia SSLv2.

Mariusz Błoński


Wersja do druku
Poleć znajomym: Udostępnij

Podobne tematy


Starsze

02.03.2016 r.

Autonomiczny samochód Google'a zderzył się z autobusem, 7:21

Sharp przyjął ofertę Foxconna, 7:20


Nowsze

20.03.2016 r.

Zdalne blokowanie Androida, 8:44

Algorytm podpowie fiskusowi czy trzeba Cię skontrolować, 8:47


Redakcja nie ponosi odpowiedzialności za wypowiedzi Internautów opublikowane na stronach serwisu oraz zastrzega sobie prawo do redagowania, skracania bądź usuwania komentarzy zawierających treści zabronione przez prawo, uznawane za obraźliwie lub naruszające zasady współżycia społecznego.


Brak komentarzy. Może warto dodać swój własny?



Autor:  










Copyright © 2002-2024 | Prywatność | Load: 1.01 | SQL: 16 | Uptime: 10 days, 4:41 h:m | Wszelkie uwagi prosimy zgłaszać pod adresem eddy@heh.pl