研究者最近發(fā)現(xiàn)了一個(gè)存在于TLS 1.0(幾乎應(yīng)由于所有HTTPS加密網(wǎng)站的協(xié)議)的重大弱點(diǎn)。利用這個(gè)漏洞,黑客將可以悄無聲息的解密客戶端和服務(wù)器端之間通過HTTPS傳輸?shù)臄?shù)據(jù)。
此攻擊僅針對(duì)TLS 1.0 ,目前使用最廣泛的安全加密協(xié)議。只要第三方能控制終端與服務(wù)器之間的鏈接即可利用此漏洞破解幾乎所有網(wǎng)站的SSL加密。諸如PayPal,GMail等大型網(wǎng)站也不例外。甚至HSTS(強(qiáng)制安全協(xié)議),一種讓用戶直接訪問安全服務(wù)器(而不是經(jīng)過不安全的鏈接跳轉(zhuǎn))的協(xié)議,都不能阻止這種漏洞。
此安全隱患波及范圍之廣泛和危害程度之大讓人震驚。在本周即將在布宜諾斯艾利斯舉行的黑客技術(shù)研討會(huì)上,Thai Duong和 Juliano Rizzo將展示一個(gè)利用此漏洞的方式。稱作BEAST的一個(gè)JS腳本,配合一個(gè)網(wǎng)絡(luò)連接嗅探器即可在30分鐘內(nèi)解密一個(gè)PayPal的用戶Cookie。兩人稱目前還在繼續(xù)優(yōu)化腳本,爭取將破解時(shí)間降低到10分鐘。
Google針對(duì)BEAST為Chrome緊急發(fā)布了一個(gè)補(bǔ)丁,但此漏洞依然強(qiáng)力危害著眾多的瀏覽器和個(gè)人。
“如果此技術(shù)果真能在10分鐘解密HTTPS安全連接,那么我們確實(shí)面臨了一個(gè)重大的危險(xiǎn)”
若是GFW掌握了此技術(shù),恐怕安全的HTTPS也不是許多站點(diǎn)的藏身之所了。 
想認(rèn)識(shí)全國各地的創(chuàng)業(yè)者、創(chuàng)業(yè)專家,快來加入“中國創(chuàng)業(yè)圈”
|
