เวลาอ่านหนังสือ: 2 นาที
มีการระบุช่องโหว่ SSL/TLS ที่ผู้โจมตีสามารถใช้เพื่อดาวน์เกรดการเข้ารหัสของการเชื่อมต่อ HTTPS เป็นช่องโหว่ที่เสี่ยงต่อการถอดรหัส อนุญาตให้ผู้โจมตีฟังการสื่อสารระหว่างเบราว์เซอร์และเซิร์ฟเวอร์ ความรุนแรงของช่องโหว่นี้สูงมาก เนื่องจากผู้โจมตีสามารถใช้เพื่อรับข้อมูลรับรองการเข้าสู่ระบบสำหรับระบบที่มีความละเอียดอ่อน เช่น ไซต์ธนาคารเพื่อกระทำการฉ้อโกงทางการเงิน
สิ่งนี้ชวนให้นึกถึงช่องโหว่ Heartbleed และ POODLE ล่าสุด ที่อาจนำไปใช้เพื่อประนีประนอมการสื่อสารที่เข้ารหัส
ช่องโหว่ที่มีชื่อเล่นว่าการโจมตีแบบ FREAK นั้นเกี่ยวข้องกับโค้ดจากโครงการ OpenSSL เช่นเดียวกับ Heartbleed ในปีที่แล้ว อย่างไรก็ตาม ผลกระทบจะแตกต่างกันไปตามเบราว์เซอร์ของผู้ขายแต่ละราย
เบราว์เซอร์ Apple Safari และ Android ได้รับการยืนยันว่ามีช่องโหว่ อย่างไรก็ตาม Chrome จะไม่ได้รับผลกระทบและ Internet Explorer และ Firefox ก็เช่นกัน
สิ่งนี้จะเกิดขึ้นได้อย่างไร?
ในช่วงทศวรรษ 1990 รัฐบาลสหรัฐฯ ต้องการควบคุมการส่งออกสิ่งที่พวกเขาถือว่าเป็นการเข้ารหัส "ระดับอาวุธ" พวกเขาจะอนุญาตให้ใช้การเข้ารหัสแบบ 128 บิตที่แข็งแกร่งในสมัยนั้นในสหรัฐอเมริกา แต่ Feds ต้องการให้หน่วยข่าวกรองสหรัฐและการบังคับใช้กฎหมายมี "แบ็คดอร์" เมื่อพูดถึงการสื่อสารต่างประเทศ ชุดการเข้ารหัส 40 บิตที่อ่อนแอได้รับการแนะนำเป็น "เกรดส่งออก" สำหรับใช้นอกสหรัฐอเมริกาซึ่งทางการอเมริกันสามารถทำลายได้หากจำเป็น
แม้ว่าเบราว์เซอร์ส่วนใหญ่จะไม่รองรับชุดโปรแกรม 40 บิตเป็นเวลาหลายปี แต่ก็มีอยู่ในไลบรารีและเบราว์เซอร์ SSL มากถึงหนึ่งในสาม หากมีชุดโปรแกรมอยู่ในเบราว์เซอร์ ผู้โจมตีสามารถติดตั้งสิ่งที่เรียกว่า 'ดาวน์เกรดการโจมตี' ซึ่งบังคับให้ใช้ชุดการเข้ารหัสที่อ่อนแอ การใช้ การโจมตีคนที่อยู่ตรงกลางผู้โจมตีแทรกกระบวนการระหว่างเบราว์เซอร์และเซิร์ฟเวอร์เพื่อสกัดกั้นและถอดรหัสข้อความของพวกเขา
น่าเสียดายที่คุณลักษณะนี้ยังคงมีอยู่ในเว็บเซิร์ฟเวอร์จำนวนมาก มากถึงหนึ่งในสาม ผู้โจมตีสามารถบังคับให้ไคลเอนต์และเซิร์ฟเวอร์ที่มีช่องโหว่ใช้การเข้ารหัสระดับการส่งออกที่อ่อนแอในการเชื่อมต่อ HTTPS สกัดกั้นการถอดรหัสหรือแก้ไขข้อความที่พวกเขาสกัดกั้นโดยใช้การโจมตีแบบคนกลาง
สิ่งที่คุณควรทำอย่างไร?
เพื่อให้การโจมตีประเภทนี้ประสบความสำเร็จ ทั้งเว็บเซิร์ฟเวอร์และเบราว์เซอร์ของเหยื่อจะต้องมีช่องโหว่ หากคุณใช้งานเว็บเซิร์ฟเวอร์ คุณควรปิดการสนับสนุนสำหรับชุดส่งออกและการเข้ารหัสที่ไม่ปลอดภัยที่รู้จักทั้งหมด จากนั้นคุณควรเปิดใช้งานการส่งต่อความลับ Mozilla ได้เผยแพร่คู่มือและตัวสร้างการกำหนดค่า SSL ซึ่งจะสร้างการกำหนดค่าที่ดีที่รู้จักสำหรับเซิร์ฟเวอร์ทั่วไป
สำหรับผู้ใช้เว็บ คุณสามารถตรวจสอบว่าเบราว์เซอร์ของคุณมีช่องโหว่ที่ไซต์นี้หรือไม่:
https://freakattack.com/clienttest.html
Apple และ Google กำลังเร่งแก้ไขปัญหาเบราว์เซอร์ แต่นี่อาจเป็นเวลาที่ดีที่จะลองใช้เบราว์เซอร์ที่ใช้ Chromium ของ Comodo ประชามังกร หรือ Firefox ตาม โคโมโด ไอซ์ดราก้อน. ทั้งสองมีคุณสมบัติความเป็นส่วนตัวและความปลอดภัยที่ไม่มีใครเทียบและสามารถดาวน์โหลดได้ฟรี
เริ่มทดลองใช้ฟรี รับคะแนนความปลอดภัยทันทีของคุณฟรี
- เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
- เพลโตไอสตรีม. ข้อมูลอัจฉริยะ Web3 ขยายความรู้ เข้าถึงได้ที่นี่.
- การสร้างอนาคตโดย Adryenn Ashley เข้าถึงได้ที่นี่.
- ซื้อและขายหุ้นในบริษัท PRE-IPO ด้วย PREIPO® เข้าถึงได้ที่นี่.
- ที่มา: https://blog.comodo.com/comodo-news/freak-attack-warning-apple-google-devices-vulnerable/
- :มี
- :เป็น
- :ไม่
- 40
- 7
- a
- ทั้งหมด
- อนุญาต
- การอนุญาต
- ด้วย
- อเมริกัน
- an
- และ
- หุ่นยนต์
- ใด
- Apple
- เป็น
- AS
- At
- โจมตี
- เจ้าหน้าที่
- การธนาคาร
- ตาม
- BE
- เพราะ
- รับ
- ระหว่าง
- บิต
- บล็อก
- ทั้งสอง
- ทำลาย
- เบราว์เซอร์
- เบราว์เซอร์
- สร้าง
- แต่
- by
- มา
- CAN
- ตรวจสอบ
- Chrome
- โครเมียม
- ตัวเลข
- คลิก
- ลูกค้า
- รหัส
- COM
- ผูกมัด
- ร่วมกัน
- การสื่อสาร
- คมนาคม
- ข่าว Comodo
- การประนีประนอม
- องค์ประกอบ
- ยืนยัน
- การเชื่อมต่อ
- ถือว่า
- ควบคุม
- ได้
- หนังสือรับรอง
- การอ่านรหัส
- วัน
- ถอดรหัส
- อุปกรณ์
- DID
- ต่าง
- do
- มือตก
- ดาวน์โหลด
- ทำให้สามารถ
- ที่มีการเข้ารหัส
- การเข้ารหัสลับ
- การบังคับใช้
- เหตุการณ์
- ใช้ประโยชน์
- นักสำรวจ
- ส่งออก
- อย่างยิ่ง
- ลักษณะ
- คุณสมบัติ
- เอฟบีไอ
- ทางการเงิน
- การฉ้อโกงทางการเงิน
- Firefox
- สำหรับ
- บังคับ
- ต่างประเทศ
- ข้างหน้า
- การหลอกลวง
- ฟรี
- ราคาเริ่มต้นที่
- สร้าง
- เครื่องกำเนิดไฟฟ้า
- ได้รับ
- ดี
- รัฐบาล
- เกรด
- ให้คำแนะนำ
- เกิดขึ้น
- มี
- ใจป้ำ
- จุดสูง
- อย่างไรก็ตาม
- HTML
- ที่ http
- HTTPS
- ระบุ
- if
- ส่งผลกระทบ
- in
- ข้อมูล
- ไม่ปลอดภัย
- แทรก
- ด่วน
- Intelligence
- อินเทอร์เน็ต
- รักษาความปลอดภัยอินเทอร์เน็ต
- แนะนำ
- ปัญหา
- IT
- ITS
- jpg
- ที่รู้จักกัน
- ชื่อสกุล
- ปีที่แล้ว
- กฏหมาย
- การบังคับใช้กฎหมาย
- ห้องสมุด
- เข้าสู่ระบบ
- มนุษย์
- หลาย
- ความกว้างสูงสุด
- ข้อความ
- กลาง
- อาจ
- มากที่สุด
- MOUNT
- Mozilla
- ต้อง
- จำเป็น
- ข่าว
- ได้รับ
- of
- on
- ONE
- OpenSSL
- ทำงาน
- or
- ด้านนอก
- เพลโต
- เพลโตดาต้าอินเทลลิเจนซ์
- เพลโตดาต้า
- นำเสนอ
- ความเป็นส่วนตัว
- ความเป็นส่วนตัวและความปลอดภัย
- กระบวนการ
- โครงการ
- การตีพิมพ์
- เมื่อเร็ว ๆ นี้
- เรียกว่า
- เตือนความทรงจำ
- s
- Safari
- ดัชนีชี้วัด
- ความปลอดภัย
- ส่ง
- มีความละเอียดอ่อน
- เซิร์ฟเวอร์
- บริการ
- น่า
- เว็บไซต์
- สถานที่ทำวิจัย
- SSL
- สหรัฐอเมริกา
- ยังคง
- แข็งแรง
- ประสบความสำเร็จ
- อย่างเช่น
- ชุด
- สนับสนุน
- ที่สนับสนุน
- ระบบ
- ที่
- พื้นที่
- ของพวกเขา
- แล้วก็
- พวกเขา
- ที่สาม
- นี้
- เวลา
- ไปยัง
- ลอง
- ชนิด
- เรา
- รัฐบาลสหรัฐ
- พร้อมใจกัน
- ประเทศสหรัฐอเมริกา
- ไม่มีที่เปรียบ
- us
- ใช้
- มือสอง
- ผู้ใช้
- การใช้
- ผู้ขาย
- ช่องโหว่
- ความอ่อนแอ
- อ่อนแอ
- อยาก
- คำเตือน
- คือ
- เว็บ
- เว็บเซิร์ฟเวอร์
- อะไร
- ความหมายของ
- เมื่อ
- ที่
- จะ
- จะ
- ปี
- ปี
- คุณ
- ของคุณ
- ลมทะเล