Участници в конференцията Black Hat обсъдиха проблеми при ползването на протокола SSL

Участници в конференцията Black Hat обсъдиха проблеми при ползването на протокола SSL
19 August 2011

Участници в конференцията Black Hat обсъдиха проблеми при ползването на протокола SSL

// Antivirusni.BG // Изследователи, участващи в конференцията по информационна безопасност Black Hat в Лас-Вегасе са се изказали в редица доклади за проблемите при безопасността на данните предавани чрез SSL-сертификат.

Системата за шифроване, прилагаща алгоритми с публичен ключ се ползват много често, както от големи организации, така и от отделни потребители, целта е да се осигури безопасността на предаваните данни. Според мнения от доклада на сътрудници от компании Qualys, само един сайт от всеки пет с поддръжка на протокола HTTPS изпълнява коректна преадресация на трафика. Останалите 80 процента от web-сайтовете при определени условия могат да него правят. Така, ползващия остава уязвим към атаки от типа «човек по средата» чрез инструменти, като Firesheep.

Според думите на генералния директор Филип Кортуо (Philippe Courtot), за годините откакто бе разработен SSL-протокола, в него практически не са се появили кардинални изменения. В същото време комерсиалните организации често разгръщат SSL-сървъри, даже без да ги настроят нормално.

Когато ползващия вижда в своя web-браузер иконката, която се показва при ползване на SSL-протокола, той разчита, че въвежданите от него данни са защитени от прихващане. Но според информация от компания Courtot, собствениците на много web-ресурси съзнателно изключват функцията за шифроване при предаване на данните за акаунта. 70 процента от web-сайтовете, които са били изследвани, обработват процеса на авторизация в отворен вид, а практически половината сайтове не шифроват предадените пароли, което позволява на злоумишлениците лесно да ги прихващат.

Това е много сериозен проблем за потребителите на мобилни устройства, смята Жюлиен Собри (Julien Sobrier), старши изследовател по безопасността в компания Zscaler. Не съществуват потребителски инструменти за блокиране на нешифрования изходящ трафик, които да са способни да подскажат на собственика на мобилното устройство, че предаваната от тях информация може да бъде прихваната.

Източник: securitylab.ru


Сканирай файл онлайн с Metascan!

Премахни антивирус с AppRemover!



Въведи своя e-mail и получавай

свежите намаления и новини!