Chrome 即将更新以对付攻击 SSL 协议的 BEAST

标签: Google新闻 BEAST Chrome SSL TLS | 发表时间:2011-09-23 02:19 | 作者:musiXboy ROY
出处:http://www.guao.hk

感谢 Dante Jiang 的爆料和翻译。

实际上对付BEAST对SSL攻击的工作从今年 5、6 月份就展开了。BEAST 的两位研究人员也没在本周五正式发表前透露太多细节,不过 Google 显然不打算冒任何风险。

BEAST 利用选择明文恢复 (chosen plaintext-recovery) 攻击 SSL 和 TLS 早期版本的 AES 加密,其中被称为加密块连锁 (cypher block chaining) 的加密方式使用之前的加密块对下一个块进行加密。Chrome 的补丁通过将信息碎片化以减少攻击者对即将加密的明文的控制。

了解 BEAST 细节的研究员同意不在周五前泄漏消息,其中一位就是 Google 的安全研究员,他在 Hacker News 的评论说

因为我的工作是 Chrome 的 SSL/TLS 协议栈,因此我知道这一攻击的细节。链接的新闻 (关于 BEAST 的新闻 - Dante 注)根本就是煽情,不过新闻界就好这口儿。

基本上人们没什么可担心的,因为什么也没坏。

Via Google +Dante Jiang and The Register


© musiXboy 发表于 谷奥——探寻谷歌的奥秘 ( http://www.guao.hk ), 2011. | 没有评论 | 永久链接 | 关于谷奥 | 投稿/爆料
Post tags: , , ,

相关 [chrome 更新 攻击] 推荐:

Chrome 即将更新以对付攻击 SSL 协议的 BEAST

- ROY - 谷奥——探寻谷歌的奥秘
感谢 Dante Jiang 的爆料和翻译. 实际上对付BEAST对SSL攻击的工作从今年 5、6 月份就展开了. BEAST 的两位研究人员也没在本周五正式发表前透露太多细节,不过 Google 显然不打算冒任何风险. BEAST 利用选择明文恢复 (chosen plaintext-recovery) 攻击 SSL 和 TLS 早期版本的 AES 加密,其中被称为加密块连锁 (cypher block chaining) 的加密方式使用之前的加密块对下一个块进行加密.

Chrome Dev 分支更新到 14.0.835.29

- Eldy - Chrome迷
Chrome Dev 分支今天面向 Windows、Mac 以及 Linux 平台更新到了14.0.835.29,本次更新主要是修复了一些小问题,并且改进了在 Mac OS X Lion 下的稳定性,完整更新内容可以参考这里. 另外 Chromebooks (Acer AC700, Samsung Series 5, 以及 Cr-48) 中的 Chrome Dev 分支今天也迎来了更新,最新版本为 14.0.835.25,官方没有公布更新内容,反而说了一个已知问题:.

Chrome Stable 分支更新到 13.0.782.215

- Jet - Chrome迷
Chrome Stable 分支稳定版今天面向全平台更新到了 13.0.782.215,本次更新主要是修复了11个安全漏洞,其中包含一个紧急安全漏洞、9个高危安全漏洞和一个中级危险安全漏洞,共给提交漏洞的爱好者发出了7837美元的奖金. 详细更新内容可以参考 SVN Revision 日志. 另外与此同时 Chromebooks 中的 Stable 分支 Chrome 也迎来了升级,最新版本号为 13.0.782.216,也是修复了大量的安全问题.

新浪微博遭蠕虫病毒攻击,Chrome、Safari 都没中招

- lube - Chrome迷
6月28日晚间,新浪微博遭到蠕虫病毒攻击,新浪微博用户收到大量包含恶意链接的私信,如果用户点击链接,则会自动添加某一账号为粉丝,并发出多条微博和私信. 新浪称截至21点25,微博上的恶意链接数据已经清除完毕,攻击者的帐号已被关闭,按照其粉丝数量看,可能有3万多人中招. 据知乎用户分析,这次攻击的原因是新浪微博广场页面有XSS漏洞,被植入了恶意JS脚本.

SSL加密可被破解,Chrome 将更新以应对

- tinda - ITeye资讯频道
研究者最近发现了一个存在于TLS 1.0(几乎应用于所有HTTPS加密网站的协议)的重大弱点. 利用这个漏洞,黑客将可以悄无声息的解密客户端和服务器端之间通过HTTPS传输的数据. 此攻击仅针对TLS 1.0 ,目前使用最广泛的安全加密协议. 只要第三方能控制终端与服务器之间的链接即可利用此漏洞破解几乎所有网站的SSL加密.

20条技巧,让Chrome超越Firefox (2010-11-16更新)

- Carl.King - 善用佳软
2010-11-16: 重写引言;新增目录;更新1-5的文字及配图. Firefox 浏览器是很多人心中的经典. 除了从NetScape开始的传奇色彩、对抗IE的英雄形象之外,在技术方面,Firefox 最被人称道的就是极为丰富的扩展、极强的定制性. 只要愿意花时间,用户可以打造出完全符合自己需求、具备无限功能的 Firefox.

Chrome Stable 分支稳定版更新到 15.0.874.102

- Desmond - Chrome迷
Chrome Stable 分支稳定版今天更新到了 15.0.874.102,修复了大量安全漏洞,Google 为此支付了26511美元的 Bug 提交奖励,其中一个叫做 Sergey Glazunov 的哥们自己一个人就拿走了13674美元,真是高手中的高手.

Move2picasa.com:将你的Facebook相册迁往Google Picasa(更新Google+ Chrome扩展)

- Horgan - 36氪
自从Google+出来后,Facebook就变成了一副伤不起的姿态. 先是有扎克伯格潜水,后又有FFE转移Facebook联系人,现在又有一个名叫Move2picasa.com的网站帮助你方便的转移Facebook相册到Google Picasa了(显然转移到Picasa后,你很容易将之分享到你的Google+圈子).

Chrome 平台 Adblock Plus 更新,功能已无限接近 Firefox 版本

- 行 - Chrome迷
去年12月份,Firefox平台上最优秀的插件之一Adblock Plus终于以测试版的形式登陆 Google Chrome 平台,但在功能上还是和 Firefox 版本有不小的差距. 而最近 ABP 团队推出的一次更新,大大缩减了两个平台之间的差距. 新版本的 Adblock Plus 已经具备了如下功能:.

随时掌握订阅的 YouTube 视频更新的 Chrome 扩展 YouTube Feed

- ROY - 谷奥——探寻谷歌的奥秘
经常泡YouTube的你在发现一些有趣的哥们或官方频道的时候,可以通过订阅来在他们上传新视频的时候获得提醒,不过前提是你必须访问YouTube. 尽管你也可以通过邮件订阅,但时效性还是差了点. 这个YouTube Feed扩展即可解决这个问题. 只要点击扩展按钮即可看到订阅频道里上传的最新视频. 你可以自己设置最多显示多少最新视频,以及更新的频率.