SSL 加密被破解,千万站点面临危险
2011-09-22 13:31
295 查看
研究者最近发现了一个存在于TLS 1.0(几乎应由于所有HTTPS加密网站的协议)的重大弱点。利用这个漏洞,黑客将可以悄无声息的解密客户端和服务器端之间通过HTTPS传输的数据。
此攻击仅针对TLS 1.0 ,目前使用最广泛的安全加密协议。只要第三方能控制终端与服务器之间的链接即可利用此漏洞破解几乎所有网站的SSL加密。诸如PayPal,GMail等大型网站也不例外。甚至HSTS(强制安全协议),一种让用户直接访问安全服务器(而不是经过不安全的链接跳转)的协议,都不能阻止这种漏洞。
此安全隐患波及范围之广泛和危害程度之大让人震惊。在本周即将在布宜诺斯艾利斯举行的黑客技术研讨会上,Thai Duong和 Juliano Rizzo将展示一个利用此漏洞的方式。称作BEAST的一个JS脚本,配合一个网络连接嗅探器即可在30分钟内解密一个PayPal的用户Cookie。两人称目前还在继续优化脚本,争取将破解时间降低到10分钟。
Google针对BEAST为Chrome紧急发布了一个补丁,但此漏洞依然强力危害着众多的浏览器和个人。
“如果此技术果真能在10分钟解密HTTPS安全连接,那么我们确实面临了一个重大的危险”
若是GFW掌握了此技术,恐怕安全的HTTPS也不是许多站点的藏身之所了。
此攻击仅针对TLS 1.0 ,目前使用最广泛的安全加密协议。只要第三方能控制终端与服务器之间的链接即可利用此漏洞破解几乎所有网站的SSL加密。诸如PayPal,GMail等大型网站也不例外。甚至HSTS(强制安全协议),一种让用户直接访问安全服务器(而不是经过不安全的链接跳转)的协议,都不能阻止这种漏洞。
此安全隐患波及范围之广泛和危害程度之大让人震惊。在本周即将在布宜诺斯艾利斯举行的黑客技术研讨会上,Thai Duong和 Juliano Rizzo将展示一个利用此漏洞的方式。称作BEAST的一个JS脚本,配合一个网络连接嗅探器即可在30分钟内解密一个PayPal的用户Cookie。两人称目前还在继续优化脚本,争取将破解时间降低到10分钟。
Google针对BEAST为Chrome紧急发布了一个补丁,但此漏洞依然强力危害着众多的浏览器和个人。
“如果此技术果真能在10分钟解密HTTPS安全连接,那么我们确实面临了一个重大的危险”
若是GFW掌握了此技术,恐怕安全的HTTPS也不是许多站点的藏身之所了。
相关文章推荐
- SSL应用系列之二:为Web站点实现SSL加密访问
- Squid反向代理SSL加密的SharePoint站点
- IIS设置SSL加密站点
- SSL应用系列之二:为Web站点实现SSL加密访问
- 发现新大陆:一个最简单的破解SSL加密网络数据包的方法
- 发现新大陆:一个最简单的破解SSL加密网络数据包的方法
- SSL应用系列之二:为Web站点实现SSL加密访问
- 为IIS站点启用SSL加密
- 一个最简单的通过WireShark破解SSL加密网络数据包的方法
- 为Web站点实现SSL加密访问
- FTP设置 FileZilla SSL安全加密
- Zend Guard 5.5破解且加密后不会过期的方法
- 1秒破解 js packer 加密
- ssl加密,解密
- 破解加密PDF文件pdfcrack
- 电信级的RSA加密后的密码的破解方法
- weblogic-使用keytool工具配置SSl加密
- 驱动程序无法通过使用安全套接字层(SSL)加密与 SQL Server 建立安全连接
- 如何通过抓包查看客户端https连接中ssl/tls加密所采用的秘钥位数
- 详细破解U盘加密工具的加密原理