Första gången accepterade inlämnare CaVp skriver med en artikel i The Register om en exploit som tycks påverka alla webbläsare och kan dekryptera en aktiv TLS session. Från artikeln: "Forskare har upptäckt en allvarlig svaghet i praktiskt taget alla webbplatser som skyddas av Secure Sockets Layer-protokoll som låter angripare att tyst dekryptera data som passerar mellan en webbserver och en slutanvändare webbläsare." En fullständig redovisning är planerad till fredag 23 september på Ekoparty konferensen. Observera att detta endast påverkar SSL 2.0 och TLS 1.0, men tyvärr de flesta webbservrar är felkonfigurerade att fortfarande acceptera SSL 2.0 och TLS 1.1 och 1.2 har sett begränsad distribution. Det praktiska i attacken återstår att mätas (för ett det är inte mycket snabbt, men om avsikten är bara att dekryptera data för senare användning som inte är ett hinder).
Läs mer om denna historia på Slashdot.
Inga kommentarer:
Skicka en kommentar