Google обнаружила критическую уязвимость в протоколе SSL 3.0
15 октября 2014, 11:23
В 2014 году криптографическому протоколу SSL 3.0 исполнилось 18 лет, те мне менее, он до сих пор поддерживается большинством веб-браузеров и используется в случаях, когда более современные технологии шифрования не позволяют установить защищённое соединение с сервером. Однако специалисты компании Google обнаружили критическую уязвимость в протоколе, которая даст злоумышленникам возможность перехватывать передаваемые по HTTP cookies.
Новый способ атаки получил название POODLE (Padding Oracle On Downgraded Legacy Encryption). В cookies часто хранится личная информация пользователя, и хакерам не составит труда извлечь данные из зашифрованного потока — такая же технология применялась в утилите BEAST (Browser Exploit Against SSL/TLS). Отмечается, что киберпреступники могут спровоцировать автоматический переход на SSL 3.0, вызывая сбои при установлении соединения с сервером.По мнению представителей Google, отказ от поддержки SSL 3.0 вызовет ряд проблем с совместимостью. В настоящий момент самым эффективным способом защиты является использование механизма TLS_FALLBACK-SCSV. В случае целенаправленной атаки от предотвратит откат TLS 1.2 до SSL 3.0 или более старых версий стандарта (TLS 1.1/1.0).
Новый механизм подедрживается в браузере Google Chrome с февраля 2014 года, а в ближайшие месяцы интернет-гигант планирует полностью отключить протокол SSL 3.0 во всех своих продуктах.
Читайте также:
В 2014 году криптографическому протоколу SSL 3.0 исполнилось 18 лет, те мне менее, он до сих пор поддерживается большинством веб-браузеров и используется в случаях, когда более современные технологии шифрования не позволяют установить защищённое соединение с сервером. Однако специалисты компании Google обнаружили критическую уязвимость в протоколе, которая даст злоумышленникам возможность перехватывать передаваемые по HTTP cookies.
Новый способ атаки получил название POODLE (Padding Oracle On Downgraded Legacy Encryption). В cookies часто хранится личная информация пользователя, и хакерам не составит труда извлечь данные из зашифрованного потока — такая же технология применялась в утилите BEAST (Browser Exploit Against SSL/TLS). Отмечается, что киберпреступники могут спровоцировать автоматический переход на SSL 3.0, вызывая сбои при установлении соединения с сервером.По мнению представителей Google, отказ от поддержки SSL 3.0 вызовет ряд проблем с совместимостью. В настоящий момент самым эффективным способом защиты является использование механизма TLS_FALLBACK-SCSV. В случае целенаправленной атаки от предотвратит откат TLS 1.2 до SSL 3.0 или более старых версий стандарта (TLS 1.1/1.0).
Новый механизм подедрживается в браузере Google Chrome с февраля 2014 года, а в ближайшие месяцы интернет-гигант планирует полностью отключить протокол SSL 3.0 во всех своих продуктах.
Читайте также:
Ещё новости по теме:
18:20