阅读时间: 2 分钟
已经发现一个SSL / TLS漏洞,攻击者可以使用该漏洞将HTTPS连接的密码级别降级为一个容易受到解密的漏洞。 允许攻击者侦听浏览器和服务器之间的通信。 此漏洞的严重性非常高,因为攻击者可以使用它来获取敏感系统(例如银行网站)的登录凭据,以进行金融欺诈。
这使人想起了最近的Heartbleed和POODLE漏洞,这些漏洞也可以用来破坏加密通信。
该漏洞被昵称为FREAK攻击,涉及OpenSSL项目中的代码,就像Heartbleed去年所做的那样。 但是,影响会因不同的供应商浏览器而异。
苹果Safari和Android浏览器已被确认为易受攻击。 但是,Chrome不会受到影响,Internet Explorer和Firefox也不会受到影响。
这怎么会发生?
在1990年代,美国政府希望控制他们认为是“武器级”加密的出口。 他们将允许使用目前强大的128位加密技术在美国使用,但美联储希望美国情报服务和执法部门在涉及外国通讯时拥有“后门”。 引入了一个弱的40位加密套件,称为“出口级”,该套件在美国境外使用,如果需要,美国当局可能会破坏它。
尽管大多数浏览器多年来都不支持40位套件,但它们存在于多达三分之一的SSL库和浏览器中。 如果浏览器中存在该套件,则攻击者可以发起所谓的“降级攻击”,从而迫使使用弱密码套件。 用一个 中间人攻击,攻击者在浏览器和服务器之间插入一个进程来拦截和解密其消息。
不幸的是,此功能仍内置在许多Web服务器中,多达三分之一。 攻击者可以使用中间人攻击,迫使易受攻击的客户端和服务器在HTTPS连接中使用弱导出级别加密来拦截解密或更改他们拦截的消息。
你该怎么办?
为了成功进行此类攻击,Web服务器和受害者的浏览器都必须易受攻击。 如果您操作Web服务器,则应禁用对任何导出套件和所有已知不安全密码的支持。 然后,您应该启用前向保密。 Mozilla发布了指南和SSL配置生成器,将为常见服务器生成已知的良好配置。
对于网络用户,您可以检查此站点上的浏览器是否容易受到攻击:
https://freakattack.com/clienttest.html
苹果和谷歌都在急于修复其浏览器问题,但这可能是尝试使用Comodo基于Chromium的浏览器的好时机 科摩多龙 或基于Firefox的 科摩多冰龙。 两者都具有无与伦比的隐私和安全功能,可以免费下载。
- SEO 支持的内容和 PR 分发。 今天得到放大。
- 柏拉图爱流。 Web3 数据智能。 知识放大。 访问这里。
- 与 Adryenn Ashley 一起铸造未来。 访问这里。
- 使用 PREIPO® 买卖 PRE-IPO 公司的股票。 访问这里。
- Sumber: https://blog.comodo.com/comodo-news/freak-attack-warning-apple-google-devices-vulnerable/
- :具有
- :是
- :不是
- 40
- 7
- a
- 所有类型
- 让
- 允许
- 还
- 美国人
- an
- 和
- 安卓
- 任何
- Apple
- 保健
- AS
- At
- 攻击
- 当局
- 银行业
- 基于
- BE
- 因为
- 很
- 之间
- 位
- 博客
- 都
- 午休
- 浏览器
- 浏览器
- 建
- 但是
- by
- 来了
- CAN
- 查
- 铬
- 铬
- 暗号
- 点击
- 客户
- 码
- COM的
- 承诺
- 相当常见
- 沟通
- 通信
- 科摩多新闻
- 妥协
- 配置
- CONFIRMED
- 连接
- 考虑
- 控制
- 可以
- 资历
- 加密技术
- 天
- 解码
- 设备
- DID
- 不同
- do
- 下坡
- 下载
- enable
- 加密
- 加密
- 强制
- 活动
- 剥削
- 探险家
- 出口
- 非常
- 专栏
- 特征
- 联邦调查局
- 金融
- 财务欺诈
- 火狐
- 针对
- 力
- 国外
- 向前
- 骗局
- Free
- 止
- 生成
- 发电机
- 得到
- 非常好
- 谷歌
- 政府
- 经验
- 指南
- 发生
- 有
- 心脏出血漏洞
- 高
- 但是
- HTML
- HTTP
- HTTPS
- 确定
- if
- 影响力故事
- in
- 信息
- 不安全
- 刀片
- 即食类
- 房源搜索
- 网络
- 互联网安全
- 介绍
- 问题
- IT
- 它的
- JPG
- 已知
- 名:
- 去年
- 法律
- 执法
- 库
- 登录
- 男子
- 许多
- 最大宽度
- 条未读消息
- 中间
- 可能
- 最先进的
- 安装
- Mozilla的
- 必须
- 打印车票
- 消息
- 获得
- of
- on
- 一
- openssl的
- 操作
- or
- 学校以外
- 柏拉图
- 柏拉图数据智能
- 柏拉图数据
- 当下
- 隐私
- 隐私和安全
- 过程
- 项目
- 出版
- 最近
- 简称
- 让人联想起
- s
- Safari
- 记分卡
- 保安
- 提交
- 敏感
- 服务器
- 特色服务
- 应该
- 网站
- 网站
- SSL
- 州
- 仍
- 强烈
- 走向成功
- 这样
- 套房
- SUPPORT
- 支持
- 产品
- 这
- 其
- 然后
- 他们
- 第三
- Free Introduction
- 次
- 至
- 尝试
- 类型
- 我们
- 美国政府
- 联合的
- 美国
- 无与伦比
- us
- 使用
- 用过的
- 用户
- 运用
- 供应商
- 漏洞
- 漏洞
- 脆弱
- 通缉
- 警告
- 是
- 卷筒纸
- Web服务器
- 什么是
- 什么是
- ,尤其是
- 这
- 将
- 将
- 年
- 年
- 完全
- 您一站式解决方案
- 和风网