TGFC Lifestyle - Powered by Discuz! Board

标题: [其他] SSL加密被破解千万站点面临危险 [打印本页]

作者: dizhang 时间: 2011-9-23 15:33 标题: SSL加密被破解千万站点面临危险

http://news.mydrivers.com/1/205/205009.htm

研究者最近发现了一个存在于TLS 1.0（几乎应由于所有HTTPS加密网站的协议）的重大弱点。利用这个漏洞，黑客将可以悄无声息的解密客户端和服务器端之间通过HTTPS传输的数据。

此攻击仅针对TLS 1.0 ，目前使用最广泛的安全加密协议。只要第三方能控制终端与服务器之间的链接即可利用此漏洞破解几乎所有网站的SSL加密，诸如PayPal、GMail等大型网站也不例外。甚至HSTS（强制安全协议），一种让用户直接访问安全服务器（而不是经过不安全的链接跳转）的协议，都不能阻止这种漏洞。

此安全隐患波及范围之广泛和危害程度之大让人震惊。在本周即将在布宜诺斯艾利斯举行的黑客技术研讨会上，Thai Duong和Juliano Rizzo将展示一个利用此漏洞的方式，声称作BEAST的一个JS脚本，配合一个网络连接嗅探器即可在30分钟内解密一个PayPal的用户Cookie。两人称目前还在继续优化脚本，争取将破解时间降低到10分钟。

Google针对BEAST为Chrome紧急发布了一个补丁，但此漏洞依然强力危害着众多的浏览器和个人。

“如果此技术果真能在10分钟解密HTTPS安全连接，那么我们确实面临了一个重大的危险。”

若是GFW掌握了此技术，恐怕安全的HTTPS也不是许多站点的藏身之所了。

－－－－－－－－－－－－
最后一句是亮点…………

作者: jamesryo 时间: 2011-9-23 15:47

在这种地方发布这种技术贴～需要配解释说明的～

作者: ppst 时间: 2011-9-23 15:55

现在GFW直接白名单封ip这类，干HTTPS还不是妥妥的，用破解GFW还觉得麻烦呢。

作者: leon2236 时间: 2011-9-23 15:55

这是不是说各大银行要直接倒闭了？

作者: 八碗茶 时间: 2011-9-23 15:57

引用:

原帖由 leon2236 于 2011-9-23 15:55 发表
这是不是说各大银行要直接倒闭了？

中国银行不可能倒闭，客户风险自负！

作者: beterhans 时间: 2011-9-23 16:21

引用:

原帖由 八碗茶 于 2011-9-23 15:57 发表

中国银行不可能倒闭，客户风险自负！

现在 GFW 不是已经在正对 GOOGLE 的 SSL 做攻击吗只不过不能解开但是限速和阻断...

作者: leon2236 时间: 2011-9-23 16:27

引用:

原帖由 八碗茶 于 2011-9-23 15:57 发表

中国银行不可能倒闭，客户风险自负！

有道理~~

作者: 总是注册不成功 时间: 2011-9-23 17:11

posted by wap, platform: Android

SSL都能破，不知是何原理？

作者: Crusher 时间: 2011-9-23 18:16

posted by wap, platform: MOTOROLA

发现这漏洞的哥们牛逼死了

作者: 去日留痕 时间: 2011-9-24 09:11

posted by wap, platform: iPhone

黑客攻防战

欢迎光临 TGFC Lifestyle (http://bbs.tgfcer.com/)