SSL加密可被破解,Chrome 将更新以应对

标签: ssl 加密 破解 | 发表时间:2011-09-23 10:35 | 作者:(author unknown) tinda
出处:http://www.iteye.com

 

研究者最近发现了一个存在于TLS 1.0(几乎应用于所有HTTPS加密网站的协议)的重大弱点。利用这个漏洞,黑客将可以悄无声息的解密客户端和服务器端之间通过HTTPS传输的数据。

 

此攻击仅针对TLS 1.0 ,目前使用最广泛的安全加密协议。只要第三方能控制终端与服务器之间的链接即可利用此漏洞破解几乎所有网站的SSL加密。诸如PayPal、GMail等大型网站也不例外。甚至HSTS(强制安全协议),一种让用户直接访问安全服务器(而不是经过不安全的链接跳转)的协议,都不能阻止这种漏洞。

 

此安全隐患波及范围之广泛和危害程度之大让人震惊。在本周即将在布宜诺斯艾利斯举行的黑客技术研讨会上,Thai Duong和Juliano Rizzo将展示一个利用此漏洞的方式,利用一个称作BEAST的JS脚本,配合一个网络连接嗅探器即可在30分钟内解密一个PayPal的用户Cookie。两人称目前还在继续优化脚本,争取将破解时间降低到10分钟。

 

这意味着将有数千万网站面临危险。不过Google已准备了一份其Chrome浏览器的更新,保护用户免受攻击。据了解,对付BEAST对SSL攻击的工作从今年 5、6 月份就已经展开了

 

BEAST 利用选择明文恢复(chosen plaintext-recovery)攻击 SSL 和 TLS 早期版本的 AES 加密,其中被称为加密块连锁(cypher block chaining)的加密方式使用之前的加密块对下一个块进行加密。Chrome的补丁通过将信息碎片化以减少攻击者对即将加密的明文的控制。

 

其中一位Google 的安全研究员在 Hacker News 的评论上说: 

 

我碰巧知道这种攻击的细节,因为我的工作就是关于Chrome的SSL/TLS栈的。关于SSL加密被破解的新闻是耸人听闻的无稽之谈。从根本上说,人们无需担心,任何网站都可能不会遭到破坏。

 

VIA http://www.theregister.co.uk/2011/09/19/beast_exploits_paypal_ssl/



感谢 wangguo 投递这篇资讯

资讯来源:谷奥

已有 5 人发表留言,猛击->>这里<<-参与讨论


ITeye推荐



相关 [ssl 加密 破解] 推荐:

SSL加密被破解 千万站点面临危险

- zhouding - 驱动之家新闻_最新新闻
研究者最近发现了一个存在于TLS 1.0(几乎应由于所有HTTPS加密网站的协议)的重大弱点. 利用这个漏洞,黑客将可以悄无声息的解密客户端和服务器端之间通过HTTPS传输的数据. 此攻击仅针对TLS 1.0 ,目前使用最广泛的安全加密协议. 只要第三方能控制终端与服务器之间的链接即可利用此漏洞破解几乎所有网站的SSL加密,诸如PayPal、GMail等大型网站也不例外.

SSL加密可被破解,Chrome 将更新以应对

- tinda - ITeye资讯频道
研究者最近发现了一个存在于TLS 1.0(几乎应用于所有HTTPS加密网站的协议)的重大弱点. 利用这个漏洞,黑客将可以悄无声息的解密客户端和服务器端之间通过HTTPS传输的数据. 此攻击仅针对TLS 1.0 ,目前使用最广泛的安全加密协议. 只要第三方能控制终端与服务器之间的链接即可利用此漏洞破解几乎所有网站的SSL加密.

2009-08-02 SSL 加密代理列表:

- scxbaobao - (title unknown)
点击连接后请接受安全证书来加密浏览.

给浏览器添加SSL加密的Google搜索引擎

- Sam - cnBeta.COM
今天 Google 宣布其搜索引擎也开始支持 SSL 加密传输,以更好地保障用户的数据安全,当然一定程度上也缓解了国内使用Google搜索经常被重置的现象. 下面我介绍一下怎样在主流的浏览器上使用 SSL 加密的Google搜索,包括 IE,Firefox,Chrome,Opera,需要注意的是,如果被转入google.com.hk,请选择主页下的 Go to Google.com ,之后可以正常使用.

Web 主机管理(SSL加密的HTTPS) -- Webmin

- 李帅 - Wow! Ubuntu
Webmi n是目前功能最强大的基于Web的UNIX系统管理工具. 管理员可通过浏览器访问 Webmin 的各种管理功能并完成相应的管理动作. Webmin 让你能够在远程使用支持HTTPS(SSL 上的 HTTP)协议的 Web 浏览器通过Web界面管理你的主机. 如果公司由VPN的用户,最适合不过了,即使外地出差,也能够访问在公司的linux主机.

谷歌下周起默认使用SSL加密搜索页面

- clowwindy - GeekPark 捕风捉影
谷歌周二表示,该公司将从下周起默认对登录谷歌账号的用户部署SSL(安全套接层)加密协议. 谷歌早在一年前就对Gmail进行了默认加密并且推出了加密搜索服务. 谷歌产品经理伊芙琳·考(Evelyn Kao)周二表示:“随着搜索的个性化体验逐渐提升,我们意识到保护个人搜索结果的重要性与日俱增. ”他还补充道,对于使用Wi-Fi网络或是在网吧上网的用户而言,加密尤其重要.

Google搜索将默认对登陆用户使用SSL加密

- perfect - Solidot
tbw 写道 "目前Google搜索中支持SSL加密方式的有Web搜索、图片搜索和除地图搜索之外的其他搜索模式. 当然,由于计算机需要首先与Google建立安全链接,所以使用SSL加密方式的搜索体验可能比传统模式的搜索会稍微慢一点. Google英文官方博客今天发文称,Google将默认对登陆用户使用SSL加密,以更好的保证用户隐私.

使用 TLS/SSL 加密你的 HTTP 代理

- - 依云's Blog
HTTP 代理是明文的,这导致实际访问的 URL 可以被他人监测到. 即使使用 HTTPS 协议,经过 HTTP 代理时会发送 CONNECT请求,告诉代理要连续到远程主机的指定端口. 比如像 HTTPS 那样,使用 TLS 协议连接到代理服务器,然后再进行 HTTP 请求. 很遗憾的是,我在 ziproxy 的配置里没有发现这样的选项.

MySQL的SSL加密连接与性能开销

- - ITeye资讯频道
在生产环境下,安全总是无法忽视的问题,数据库安全则是重中之重,因为所有的数据都存放在数据库中. MySQL在5.7版本之前对于安全问题的确考虑并不充分,导致存在比较大的隐患,比如下面的这些问题,可能有些小伙伴知道,有些却还不知道:. MySQL数据库默认安装的用户密码为空. 所有用户拥有对于MySQL默认安装test数据库的访问权限(即使没有授予权限).

nginx配置ssl

- - 邢红瑞的blog
先生成网关证书 ,仿照CA模式.