Легенда:
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
Серьезная уязвимость в SSL/TLS: и еще один привет 90-м 07.11.09 00:37
Publisher: dl <Dmitry Leonov>
|
Серьезная уязвимость в SSL/TLS: и еще один привет 90-м The Register http://www.theregister.co.uk/2009/11/05/serious_ssl_bug/
Еще одна серьезная уязвимость в одном из ключевых интернет-протоколов добралась до нас из прошлого века. Исследователи из PhoneFactor обнаружили уязвимость в протоколе TLS, позволяющую вклиниться в устанавливаемое защищенное соединение. Проблема восходит к середине 90-х, когда была опубликована спецификация TLS, и носит принципиальный характер, не зависящий от реализации.
Точнее, основная проблема заключается в сочетании поведения SSL/TLS и работающего поверх него прикладного протокола HTTP. В спецификацию TLS заложена возможность повторной установки сессии любой стороной, что и позволяет злоумышленнику вклиниться в процесс установки соединения с сервером: задержать исходный пакет, установить соединение самостоятельно, после чего пропустить исходный пакет, что будет воспринято сервером как вполне легальное повторное соединение. На этом этапе серверу по-хорошему надо бы перезапросить...
Полный текст
|
|
|