研究者最近發現了一個存在于TLS 1.0(幾乎應由于所有HTTPS加密網站的協議)的重大弱點。利用這個漏洞,黑客將可以悄無聲息的解密客戶端和服務器端之間通過HTTPS傳輸的數據。
此攻擊僅針對TLS 1.0 ,目前使用最廣泛的安全加密協議。只要第三方能控制終端與服務器之間的鏈接即可利用此漏洞破解幾乎所有網站的SSL加密。諸如PayPal,GMail等大型網站也不例外。甚至HSTS(強制安全協議),一種讓用戶直接訪問安全服務器(而不是經過不安全的鏈接跳轉)的協議,都不能阻止這種漏洞。
此安全隱患波及范圍之廣泛和危害程度之大讓人震驚。在本周即將在布宜諾斯艾利斯舉行的黑客技術研討會上,Thai Duong和 Juliano Rizzo將展示一個利用此漏洞的方式。稱作BEAST的一個JS腳本,配合一個網絡連接嗅探器即可在30分鐘內解密一個PayPal的用戶Cookie。兩人稱目前還在繼續優化腳本,爭取將破解時間降低到10分鐘。
Google針對BEAST為Chrome緊急發布了一個補丁,但此漏洞依然強力危害著眾多的瀏覽器和個人。
“如果此技術果真能在10分鐘解密HTTPS安全連接,那么我們確實面臨了一個重大的危險”
若是GFW掌握了此技術,恐怕安全的HTTPS也不是許多站點的藏身之所了。 
想認識全國各地的創業者、創業專家,快來加入“中國創業圈”
|
