SKY-net

Эксперты в области информационной безопасности нашли простой способ обхода системы дешифрования защищенного SSLтрафика. Напомним, что исследователи Таи Дуонг (Thai Doung) и Джулиано Риццо (Juliano Rizzo) обнаружили уязвимость в протоколе TLS 1.0 и более ранних версиях, которая позволяет злоумышленникам расшифровывать данные, передаваемые от сервера конечному пользователю.

Сотрудники службы двухфакторной аутентификации PhoneFactor рекомендуют интернет-компаниям применять для шифрования алгоритм RC4. Это менее защищенный алгоритм, чем современные AES и DES, но на него не распространяются обнаруженные уязвимости.

По данным компании Qualys, web-серверы Google уже настроены на работу с RC4. Представитель Google заявил, что данный алгоритм используется компанией «уже годами».

По словам разработчиков BEAST, их инструмент нацелен на использование давно описанной уязвимости в алгоритмах шифрования, эксплуатация которых ранее считалась невозможной.

Уведомление компании PhoneFactor можно просмотреть здесь.

www.securitylab.ru

Опубликовано 26.09.2011 14:24 и размещено в рубрике Безопасность. Вы можете следить за комментариями, подписавшись на RSS 2.0 ленту этого сообщения. Комментирование закрыто.

публикации сходной тематики

• SSL-шифрование ненадежно, брешь распространяется на миллионы сайтов
• Разработчики Opera выпустили обновление безопасности
• «Who let the Beast out?» POV/TGT обещает GeForce GTS 450 Beast с номиналом 920 МГц
• Google разрабатывает новый редактор веб-сайтов: Google Sites
• Разработчики Firefox планируют заблокировать Java для предотвращения BEAST-атак