SSL
Technika szyfrowania stron internetowych ponownie padła ofiarą hakerów. Podczas trwającej w Waszyngtonie konferencji Black Hat zaprezentowano bowiem program narzędziowy, który jest w stanie skraść cenne informacje z stron uważanych przez internautów za bezpieczne (np. bankowe chronione odpowiednimi certyfikatami).
SSLstrip działa doskonale np. w publicznych sieciach Wi-Fi, czyli tam, gdzie łatwo przeprowadzić atak typu man-in-the-middle. Konwertuje on strony, które zazwyczaj są chronione protokołem SSL (secure sockets layer) na wersje nieszyfrowane. Narzędzie oszukuje obie strony - serwer i użytkownika - utrzymując ich w przeświadczeniu, że szyfrowanie jest w dalszym ciągu aktywne.
Prezentacja hakera przedstawiającego się jako Moxie Marlinspike obnaża słabości SSL - protokołu, który jest stosowany na szeroką skalę. Marlinspike twierdzi, że SSLstrip działa dzięki specyficznej konstrukcji większości stron internetowych - korzystają one z SSL jedynie w części swego serwisu - tam, gdzie przesyłane są istotne prywatne dane.
"Złoty środek jest jeden - trzeba szyfrować wszystko" - radzi Marlinspike.
Źródło:
Hacking.pl
Data dodania:
20.02.2009 16:41, przez: ches_ter
Czytano:
2141 razy
Ocena:
- Bardzo dobry (3.5/5)
Liczba ocen: 4
|
|