Главная » 2011 » Сентябрь » 25 » Разработчики браузеров готовятся к атакам на SSL

Разработчики браузеров готовятся к атакам на SSL

Разработчики браузеров готовятся к атакам на SSL

Очень скоро будут раскрыты подробности работы программы под названием BEAST, которая, по заявлению её создателей, может успешно расшифровывать криптографические протоколы SSL 3.0 и TLS 1.0. В этой связи разработчикам браузеров и владельцам веб-сайтов придётся срочно принимать какие-то меры для сохранения безопасности своих продуктов и сервисов.

Разработчикам браузеров, на первый взгляд, проще всего было бы реализовать поддержку более новых версий протоколов - TLS 1.1/1.2, поскольку они являются устойчивыми к атаке BEAST. Однако абсолютное большинство веб-сайтов эти версии протоколов шифрования просто не поддерживают.

Как обнаружили исследователи из компании Opera, только 0.25% сайтов поддерживают TLS 1.1, TLS 1.2 поддерживают 0.02%. Несмотря на то, что спецификации TLS 1.1/1.2 были разработаны достаточно давно, поддержка этих протоколов в некоторых популярных браузерах всё ещё не реализована. Это создаёт проблему для владельцев сайтов, которые хотели бы обновиться, но из-за боязни потерять клиентов делать этого не хотят.

На сегодняшний день поддержкой TLS 1.1/1.2 обладают лишь браузеры Opera, начиная с десятой версии, и Internet Explorer, начиная с восьмой версии в Windows 7.

Разработчики Opera уже создали заплатку для своего браузера, которая должна воспрепятствовать атаке BEAST, но затем обнаружили, что из-за этой заплатки некоторые сайты оказались в Opera неработоспособны, и решили не включать эту заплатку в следующую финальную версию. Согласно данным Threat Post, Google также разрабатывает некоторые меры для закрытия уязвимости в браузере Chrome и опасается, что хакерская активность вынудит их произвести принудительный релиз новой версии раньше срока. На данный момент Chrome TLS 1.1/1,2 не поддерживает. Mozilla Firefox также не поддерживает эти протоколы. При этом о планах разработчиков Firefox реализовать их поддержку пока ничего не известно.

Тьерри Золлер, эксперт по безопасности из компании G-SEC, предлагает разработчикам ряд мер, которые должны обезопасить банковские операции. Среди них упоминаются следующие:

  • в качестве шифра следует использовать метод эллиптических кривых
  • в качестве алгоритма шифрования следует использовать AES
  • минимальная длина ключа для шифрования должна составлять 128 бит
  • поддержку SSL 2.0/3.0 следует полностью исключить

Простым пользователям на данный момент остаётся только гадать, как скоро хакеры смогут воспользоваться обнаруженной уязвимостью, и ждать своей участи.

Категория: Новости Software(софт) | Просмотров: 1966 | Добавил: | Рейтинг: 0.0/0
Всего комментариев: 0.
avatar