Поиск на сайте: Расширенный поиск


Новые программы oszone.net Читать ленту новостей RSS
CheckBootSpeed - это диагностический пакет на основе скриптов PowerShell, создающий отчет о скорости загрузки Windows 7 ...
Вы когда-нибудь хотели создать установочный диск Windows, который бы автоматически установил систему, не задавая вопросо...
Если после установки Windows XP у вас перестала загружаться Windows Vista или Windows 7, вам необходимо восстановить заг...
Программа подготовки документов и ведения учетных и отчетных данных по командировкам. Используются формы, утвержденные п...
Red Button – это мощная утилита для оптимизации и очистки всех актуальных клиентских версий операционной системы Windows...
OSzone.net Новости IT В SSL 3.0 нашли критическую уязвимость под названием POODLE RSS

В SSL 3.0 нашли критическую уязвимость под названием POODLE

Текущий рейтинг: 4.33 (проголосовало 3)
 Посетителей: 2396 | Просмотров: 2700 (сегодня 0)  Шрифт: - +

Компания Google опубликовала описание уязвимости протокола SSL, версии 3.0. Проведение атак под названием POODLE (Padding Oracle On Downgraded Legacy Encryption) позволяет заполучить передаваемые через безопасное соединение данные, вроде куки-файлов. Причиной считается использование устаревшего стандарта шифрования RC4.

Возраст SSL 3.0 составляет уже около 18 лет, и в качестве альтернативы существуют различные модификации сетевого протокола TLS (TLS 1.0, 1.1, 1.2). Несмотря на это, эксперты по сетевой безопасности бьют тревогу, поскольку SSL 3.0 всё ещё широко применяется и в наши дни. Например, веб-браузеры могут восстанавливать разорванное соединение при помощи старых протоколов, к числу которых относится и SSL 3.0. Именно на это могут делать ставку атакующие, целенаправленно разрывая соединение, активируя переход на SSL 3.0 и задействуя POODLE.

*

Открывший уязвимость Бобо Моллер из Google говорит, что отключение поддержки SSL 3.0 может стать решением проблемы, как и использование режима шифрования CBC. Однако минусом такого подхода могут стать проблемы с совместимостью, так что лучшим решением будет использование механизма TLS_FALLBACK_SCSV. Он не даёт браузерам восстанавливать соединение с использованием SSL 3.0.

Браузер Chrome и серверы Google поддерживают TLS_FALLBACK_SCSV с февраля нынешнего года, в Firefox 35 также должна появиться его поддержка.

Автор: Алексей Алтухов  •  Иcточник: techspot.com  •  Опубликована: 16.10.2014
Нашли ошибку в тексте? Сообщите о ней автору: выделите мышкой и нажмите CTRL + ENTER
Теги:   SSL, браузеры, POODLE.


Оценить статью:
Вверх
Комментарии посетителей
Комментарии отключены. С вопросами по статьям обращайтесь в форум.