Google将发布补丁阻止SSL/TLS攻击

标签: security | 发表时间:2011-09-22 20:00 | 作者:blackhat SotongDJ
出处:http://solidot.org/
51开源社区 写道 "研究者最近发现了一个存在于TLS 1.0(目前使用最广泛的安全加密协议)的重大漏洞。利用该漏洞,黑客可以悄悄解密客户端和服务器端之间通过HTTPS传输的数据。本周在布宜诺斯艾利斯举行的黑客技术研讨会上,Thai Duong和Juliano Rizzo将展示一个利用此漏洞的方式,使用称为BEAST的脚本,配合一个网络连接嗅探器即可在30分钟内解密一个PayPal的用户Cookie。两人称目前还在继续优化脚本,争取将破解时间降低到10分钟。Google计划针对BEAST为Chrome紧急发布了一个补丁,利用混淆信息阻止BEAST。"


相关 [google 补丁 ssl] 推荐:

Google将发布补丁阻止SSL/TLS攻击

- SotongDJ - Solidot
51开源社区 写道 "研究者最近发现了一个存在于TLS 1.0(目前使用最广泛的安全加密协议)的重大漏洞. 利用该漏洞,黑客可以悄悄解密客户端和服务器端之间通过HTTPS传输的数据. 本周在布宜诺斯艾利斯举行的黑客技术研讨会上,Thai Duong和Juliano Rizzo将展示一个利用此漏洞的方式,使用称为BEAST的脚本,配合一个网络连接嗅探器即可在30分钟内解密一个PayPal的用户Cookie.

微软谷歌Mozilla携手推SSL补丁

- Mao.. - ITeye资讯频道
据国外媒体报道,微软、谷歌和Mozilla开发者将合力解决SSL加密漏洞,防止黑客拦截SSL通信以解码. TLS 1.0是目前使用最广泛的安全加密协议,研究者最近发现了一个存在于TLS 1.0的重大弱点. 利用这个漏洞,黑客将可以悄无声息的解密客户端和服务器端之间通过HTTPS传输的数据. 此攻击仅针对TLS 1.0 ,只要第三方能控制终端与服务器之间的链接即可利用此漏洞破解几乎所有网站的SSL加密.

给浏览器添加SSL加密的Google搜索引擎

- Sam - cnBeta.COM
今天 Google 宣布其搜索引擎也开始支持 SSL 加密传输,以更好地保障用户的数据安全,当然一定程度上也缓解了国内使用Google搜索经常被重置的现象. 下面我介绍一下怎样在主流的浏览器上使用 SSL 加密的Google搜索,包括 IE,Firefox,Chrome,Opera,需要注意的是,如果被转入google.com.hk,请选择主页下的 Go to Google.com ,之后可以正常使用.

Google SSL憑證遭冒充,各大瀏覽器緊急更新

- chitsaou - 數位時代 Beta3.0 | Topics & Links
Google本周稍早接獲報告,有部份Google用戶遭到網路駭客攻擊. 駭客採用「中間人 (man in the middle)」攻擊手法,竊聽並攔截用戶GMail郵件及其他訊息. 這幾天各大瀏覽器如Firefox、IE都陸續釋出更新版本,協助Google用戶預防這一波的攻擊. 一向對網路安全十分謹慎的Google,怎麼會成為這起攻擊事件的受害者呢.

Google搜索将默认对登陆用户使用SSL加密

- perfect - Solidot
tbw 写道 "目前Google搜索中支持SSL加密方式的有Web搜索、图片搜索和除地图搜索之外的其他搜索模式. 当然,由于计算机需要首先与Google建立安全链接,所以使用SSL加密方式的搜索体验可能比传统模式的搜索会稍微慢一点. Google英文官方博客今天发文称,Google将默认对登陆用户使用SSL加密,以更好的保证用户隐私.

nginx配置ssl

- - 邢红瑞的blog
先生成网关证书 ,仿照CA模式.

SSL原理笔记

- - CSDN博客推荐文章
搜索SSL握手的原理,最多是网上转载的Alice和Bob的对话. 用生动、形象的场景说明了一个复杂SSL握手原理. 用公钥加密的数据只有私钥才能解密,相反的,用私钥加密的数据只有公钥才能解密,正是这种不对称性才使得公用密钥密码系统那么有用. 是一个验证身份的过程,目的是使一个实体能够确信对方是他所声称的实体.

SSL工作原理

- - 互联网 - ITeye博客
SSL 是一个安全协议,它提供使用 TCP/IP 的通信应用程序间的隐私与完整性. 超文本传输协议 (HTTP)使用 SSL 来实现安全的通信. 在客户端与服务器间传输的数据是通过使用对称算法(如 DES 或 RC4)进行加密的. 公用密钥算法(通常为 RSA)是用来获得加密密钥交换和数字签名的,此算法使用服务器的SSL数字证书中的公用密钥.

SSL窃听攻击实操

- snowflip - 狂人山庄 | Silence,声仔,吴洪声,奶罩
OK,我恶毒的心灵又开始蠢蠢欲动了. 今天带给大家的是SSL窃听攻击从理论到实际操作的成功例子. SSL窃听最主要的是你要有一张合法的SSL证书,并且证书名称必须和被攻击的网站域名一致. 目前各大CA都有很低廉价格的SSL证书申请,最低的价格只需要10美元不到,甚至还有一些域名注册商大批量采购这些证书,并且在你注册域名的时候免费送你一张.