25.09.2011 Разработчики браузеров готовятся к атакам на SSL | |
Разработчики браузеров готовятся к атакам на SSLОчень скоро будут раскрыты подробности работы программы под названием BEAST, которая, по заявлению её создателей, может успешно расшифровывать криптографические протоколы SSL 3.0 и TLS 1.0. В этой связи разработчикам браузеров и владельцам веб-сайтов придётся срочно принимать какие-то меры для сохранения безопасности своих продуктов и сервисов. Разработчикам браузеров, на первый взгляд, проще всего было бы реализовать поддержку более новых версий протоколов - TLS 1.1/1.2, поскольку они являются устойчивыми к атаке BEAST. Однако абсолютное большинство веб-сайтов эти версии протоколов шифрования просто не поддерживают. Как обнаружили исследователи из компании Opera, только 0.25% сайтов поддерживают TLS 1.1, TLS 1.2 поддерживают 0.02%. Несмотря на то, что спецификации TLS 1.1/1.2 были разработаны достаточно давно, поддержка этих протоколов в некоторых популярных браузерах всё ещё не реализована. Это создаёт проблему для владельцев сайтов, которые хотели бы обновиться, но из-за боязни потерять клиентов делать этого не хотят. На сегодняшний день поддержкой TLS 1.1/1.2 обладают лишь браузеры Opera, начиная с десятой версии, и Internet Explorer, начиная с восьмой версии в Windows 7. Разработчики Opera уже создали заплатку для своего браузера, которая должна воспрепятствовать атаке BEAST, но затем обнаружили, что из-за этой заплатки некоторые сайты оказались в Opera неработоспособны, и решили не включать эту заплатку в следующую финальную версию. Согласно данным Threat Post, Google также разрабатывает некоторые меры для закрытия уязвимости в браузере Chrome и опасается, что хакерская активность вынудит их произвести принудительный релиз новой версии раньше срока. На данный момент Chrome TLS 1.1/1,2 не поддерживает. Mozilla Firefox также не поддерживает эти протоколы. При этом о планах разработчиков Firefox реализовать их поддержку пока ничего не известно. Тьерри Золлер, эксперт по безопасности из компании G-SEC, предлагает разработчикам ряд мер, которые должны обезопасить банковские операции. Среди них упоминаются следующие:
Простым пользователям на данный момент остаётся только гадать, как скоро хакеры смогут воспользоваться обнаруженной уязвимостью, и ждать своей участи. | |
|
Всего комментариев: 0. | |