Nov
6
Bugg i SSL
6 Nov 2009
Secure Sockets Layer, eller SSL, används för att upprätta en säker förbindelse mellan din dator och en webbplats, t ex din bank eller liknande. Man märker det på att länken börjar med “https” istället för bara “http”. Tanken bakom är att förbindelsen ska vara insynsskyddad och det ska vara omöjlig att ändra informationen som överförs. Om någon försöker sig på detta så kommer det felmeddelanden.
Nu verkar det som om man hittat en sårbarhet i protokollet som gör det möjligt för en så kallad “man-in-the-middle“-attack. Den attacken innebär att någon kan injicera egen text i kommunikationen. Personen kan dock inte läsa det som sänds, det är krypterat. Enligt vissa som intervjuats i artikeln är denna attack svår att lansera, men man anser den ändå såpass allvarlig att man arbetar på ett sätt att täppa till hålet. Men då uppstår nästa problem. Steve Dispensa på PhoneFactor yttrycker det så här:
“It’s going to take a while for the protocol changes necessary to be rolled out, because every browser and every server in the world is going to have to be patched.”
Inget litet jobb med andra ord. Tills det sker så kan vi inte göra så mycket mer än det vanliga. Hålla tummarna och hoppas att inget otrevligt händer
(SSL håller på att fasas ut och ersättas av TLS. Hoppas att den är bättre genomgången)
Taggar: Jobbigt, Kryptering, Säkerhetshål
Nej. Det här problemet finns i alla TLS- och SSL-versioner; http://extendedsubset.com/?p=8
Förvånad?
Förövrigt så är det enkelt fixat (om jag fattat rätt) med SSLProtocol All -SSLv2 -SSLv3. Eller ja, vsarför inte SSLProtocol TLSv1.
Tack för input Leif och beng
beng, hur skulle det hjälpa? Det här är en protokollbugg i såväl TLS som SSL.
Se till exempel http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2009-3555