Показано с 1 по 1 из 1.

Эксперты нашли дыры в сверхзащищенном EV-SSL

  1. #1
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SDA
    Регистрация
    07.01.2005
    Адрес
    Москва
    Сообщений
    7,168
    Вес репутации
    3162

    Эксперты нашли дыры в сверхзащищенном EV-SSL

    Как удалось выяснить двум экспертам, веб-сайты, использующие расширенную форму цифровой аутентификации, практически также уязвимы к типичной спуфинговой атаке как и те ресурсы, что пользуются более дешевой формой подтверждения аутентичности.

    Ранее SSL-сертификаты с расширенной ратификацией (EV-SSL) считались неуязвимыми к атакам "man-in-the-middle" (MITM), однако независимые исследователи Алекс Сотиров и Майк Зусман доказали, что это не так.

    Из-за наличия уязвимостей в архитектуре большинства браузеров все еще возможно провести MITM-атаку и сохранить при этом в адресной строке браузера жертвы зеленый цвет адресной строки, подтверждающий, что сайт защищен сертификатом EV SSL. Специалисты представили результаты своей работы на прошлой неделе в рамках проходившей в Ванкувере конференции CanSecWest.
    Описанный ими метод по-прежнему требует наличия поддельного SSL-сертификата, но как показывает практика, получить его не очень-то сложно. После того, как такой сертификат приобретен, атакующий позволяет жертве зайти на законопослушный сайт, защищенный сертификатом EV-SSL. А затем он использует свой (более простой) сертификат для того, чтобы внедрить в нужную страницу код javascript или другой контент. И поскольку браузеры не делают различий между двумя этими типами SSL-сертификатов, они продолжают высвечивать зеленую полосу.

    Алекс Сотиров пояснил, что после того, как код javascript внедрен на целевую страницу, над ней можно получить полный контроль. Становится возможным модифицировать страницу, перехватывать информацию, пересылаемую при нажатии кнопки "Вход", а также перехватывать нажатия клавиш, которые пользователь осуществляет во время посещения страницы.

    Впрочем, Сотиров продолжает считать сертификаты EV более ценными, поскольку они обеспечивают еще один дополнительный уровень проверки данных. Но до тех пор, пока браузеры не научатся различать два типа сертификатов, не будет никакой гарантии того, что маленькая зеленая полоска в адресной строке действительно указывает на то, что никто не подделал сайт, который ты посещаешь.

    xakep.ru

  2. Реклама
     

Похожие темы

  1. Эксперты Trend Micro нашли уязвимость в Hotmail
    От CyberWriter в разделе Новости компьютерной безопасности
    Ответов: 0
    Последнее сообщение: 24.05.2011, 08:20
  2. нашли флешку с секретной информацией
    От Казак в разделе Другие новости
    Ответов: 0
    Последнее сообщение: 10.09.2010, 08:23
  3. Эксперты нашли новые критические уязвимости в Internet Explorer
    От ALEX(XX) в разделе Новости компьютерной безопасности
    Ответов: 0
    Последнее сообщение: 25.01.2010, 09:37
  4. Последние дыры Skype
    От akok в разделе Новости компьютерной безопасности
    Ответов: 2
    Последнее сообщение: 31.01.2008, 16:32
  5. Дыры, дыры :(
    От Geser в разделе Сетевые атаки
    Ответов: 19
    Последнее сообщение: 20.10.2004, 20:48

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01457 seconds with 18 queries