Technika szyfrowania stron internetowych ponownie padła ofiarą hakerów. Podczas trwającej w Waszyngtonie konferencji Black Hat zaprezentowano bowiem program narzędziowy, który jest w stanie skraść cenne informacje z stron uważanych przez internautów za bezpieczne (np. bankowe chronione odpowiednimi certyfikatami).

SSLstrip działa doskonale np. w publicznych sieciach Wi-Fi, czyli tam, gdzie łatwo przeprowadzić atak typu man-in-the-middle. Konwertuje on strony, które zazwyczaj są chronione protokołem SSL (secure sockets layer) na wersje nieszyfrowane. Narzędzie oszukuje obie strony - serwer i użytkownika - utrzymując ich w przeświadczeniu, że szyfrowanie jest w dalszym ciągu aktywne.

Prezentacja hakera przedstawiającego się jako Moxie Marlinspike obnaża słabości SSL - protokołu, który jest stosowany na szeroką skalę. Marlinspike twierdzi, że SSLstrip działa dzięki specyficznej konstrukcji większości stron internetowych - korzystają one z SSL jedynie w części swego serwisu - tam, gdzie przesyłane są istotne prywatne dane.

"Złoty środek jest jeden - trzeba szyfrować wszystko" - radzi Marlinspike.