Эксперты eScan рассказали, как защитить свой компьютер от новой уязвимости протоколов SSL, TLS и SPDY
Читайте также:
Эксперты eScan рассказали, как защитить свой компьютер от новой уязвимости протоколов SSL, TLS и SPDY, обеспечивающих защиту соединений и передаваемых данных в интернете.
Очередную уязвимость протоколов SSL, TLS и SPDY продемонстрировали недавно исследователи Джулиано Риззо и Тай Дуонг на конференции Ekoparty в Буэнос-Айресе. Атака с использованием новой бреши получила название CRIME (Compression Ratio Info-leak Made Easy).
Во время атаки CRIME эксплуатируются алгоритмы сжатия данных. Получив сообщение для отправки, SSL разбивает его на блоки, при необходимости сжимает, вычисляет код аутентичности MAC, шифрует, добавляет заголовок и передает. Сжатие является необязательной, но часто используемой функцией SSL. Атака CRIME основана на изменении размера сжатых сообщений, что происходит, например, при добавлении аутентификационных данных куки. Тот факт, что сжатие происходит до шифрования, а информация не подвергается дополнительной рандомизации, позволяет злоумышленнику расшифровать сообщение и, если украдены куки, произвести несанкционированную авторизацию в системе.
Для проведения атаки CRIME на компьютер жертвы необходимо загрузить вредоносный код. Это можно сделать, к примеру, перенаправив пользователя на инфицированную веб-страницу.
Ранее те же исследователи показали возможность успешного взлома протоколов SSL и TLS с помощью уязвимости блочных шифров (атака Browser Exploit Against SSL/TLS, BEAST).
«Атака CRIME имеет потенциал стать популярной среди хакеров благодаря своей эффективности и относительной простоте применения, - комментируют эксперты eScan в России и странах СНГ. – Вероятно, скоро мы увидим появление не лабораторных, а реальных хакерских инструментов, автоматизирующих такого рода атаки».
Значительный интерес к защищённости SSL-соединений вызван, в частности, развитием облачных технологий. Все большее число компаний и домашних пользователей используют облачные сервисы для хранения и обработки важной информации, а подключение к таким службам в большинстве случаев осуществляется через веб-браузер с использованием технологии SSL. Уязвимость в системе защиты потенциально дает злоумышленникам практически неограниченные возможности для хищения важной информации.
«Для вскрытия зашифрованных сообщений во время атаки CRIME хакеру нужно иметь возможности прослушивать сетевой трафик и принуждать браузер жертвы отправлять запросы на определенный сервер. Это вполне осуществимо, учитывая высокий уровень современных хакерских технологий, - добавляют эксперты eScan. - Однако также требуется, чтобы и сервер, и клиентская машина поддерживали опцию сжатия данных до шифрования. Поэтому мы рекомендуем использовать последние версии браузеров, в которых разработчики уже отключили эту опцию, а на серверной стороне – отключить её самостоятельно».
Список актуальных версий браузеров с отключенной функцией сжатия SSL: Google Chrome 21.0.1180.89; Firefox 15.0.1; Opera 12.01; Safari 5.1.7 для Windows; Safari 5.1.6 & 6 для OSX Lion; Все версии Internet Explorer.
Администраторы могут проверить веб-серверы на наличие функции SSL-сжатия на специальном сайте.
Источник: http://safe.cnews.ru/news/line/index.shtml?2012/10/02/505079
Дайджест новых статей по интернет-маркетингу на ваш email
Новые статьи и публикации
- 2024-11-26 » Капитан грузового судна, или Как начать использовать Docker в своих проектах
- 2024-11-26 » Обеспечение безопасности ваших веб-приложений с помощью PHP OOP и PDO
- 2024-11-22 » Ошибки в Яндекс Вебмастере: как найти и исправить
- 2024-11-22 » Ошибки в Яндекс Вебмастере: как найти и исправить
- 2024-11-15 » Перенос сайта на WordPress с одного домена на другой
- 2024-11-08 » OSPanel 6: быстрый старт
- 2024-11-08 » Как установить PhpMyAdmin в Open Server Panel
- 2024-09-30 » Как быстро запустить Laravel на Windows
- 2024-09-25 » Next.js
- 2024-09-05 » OpenAI рассказал, как запретить ChatGPT использовать содержимое сайта для обучения
- 2024-08-28 » Чек-лист: как увеличить конверсию интернет-магазина на примере спортпита
- 2024-08-01 » WebSocket
- 2024-07-26 » Интеграция с Яндекс Еда
- 2024-07-26 » Интеграция с Эквайринг
- 2024-07-26 » Интеграция с СДЕК
- 2024-07-26 » Интеграция с Битрикс-24
- 2024-07-26 » Интеграция с Travelline
- 2024-07-26 » Интеграция с Iiko
- 2024-07-26 » Интеграция с Delivery Club
- 2024-07-26 » Интеграция с CRM
- 2024-07-26 » Интеграция с 1C-Бухгалтерия
- 2024-07-24 » Что такое сторителлинг: техники и примеры
- 2024-07-17 » Ошибка 404: что это такое и как ее использовать для бизнеса
- 2024-07-03 » Размещайте прайс-листы на FarPost.ru и продавайте товары быстро и выгодно
- 2024-07-01 » Профилирование кода в PHP
- 2024-06-28 » Изучаем ABC/XYZ-анализ: что это такое и какие решения с помощью него принимают
- 2024-06-17 » Зачем вам знать потребности клиента
- 2024-06-11 » Что нового в работе Яндекс Метрики: полный обзор обновления
- 2024-06-11 » Поведенческие факторы ранжирования в Яндексе
- 2024-06-11 » Скорость загрузки сайта: почему это важно и как влияет на ранжирование
Чтобы вырастить плодоносящий сайт - его полезно регулярно поливать и удобрять с помощью рекламы и оптимизации Компания "RedLine" |
Мы создаем сайты, которые работают! Профессионально обслуживаем и продвигаем их , а также по всей России и ближнему зарубежью с 2006 года!
Как мы работаем
Заявка
Позвоните или оставьте заявку на сайте.
Консультация
Обсуждаем что именно Вам нужно и помогаем определить как это лучше сделать!
Договор
Заключаем договор на оказание услуг, в котором прописаны условия и обязанности обеих сторон.
Выполнение работ
Непосредственно оказание требующихся услуг и работ по вашему заданию.
Поддержка
Сдача выполненых работ, последующие корректировки и поддержка при необходимости.