1. XenForo 1.5.14 中文版——支持中文搜索!现已发布!查看详情
  2. Xenforo 爱好者讨论群:215909318 XenForo专区

科技 Google发布研究报告: SSL 3.0协议存在漏洞 或被黑客攻击利用

Discussion in '新闻聚焦' started by 漂亮的石头, 2014-10-15.

  1. 漂亮的石头

    漂亮的石头 版主 Staff Member

    Joined:
    2012-02-10
    Messages:
    488,438
    Likes Received:
    48
    事实证明,人们依赖已久的互联网通信协议——安全套接层(SSL)——已经曝出了一个漏洞。根据Google研究人员公布的报告,SSL 3.0协议中存在一个bug,可被黑客用于截取客户机和服务器之间进行加密的关键数据。该漏洞首选允许攻击者发起降级攻击,即欺骗客户端说服务器不支持更安全的安全传输层(TLS)协议,然后强制其转向使用SSL 3.0。

    [​IMG]

    在强制客户端采用SSL 3.0与服务器进行通讯之后,黑客就可以利用中间人攻击来解密HTTPs的cookies。Google将方式称作POODLE攻击(Padding Oracle On Downgraded Legacy Encryption)。

    简而言之,若受到攻击,你的数据将不再加密。鉴于目前没有更好的解决方案,Google研究人员Bodo Möller、Thai Duong、以及Krzysztof Kotowicz只得强烈建议客户和服务器双方均禁用SSL 3.0。

    如此一来,服务器和客户端将默认启用更安全的TLS协议。Google表示将在后续更新中移除旗下所有产品的SSL 3.0支持。事实上,该公司早已放出了一个禁用SSL 3.0的Chromium补丁。

    传送门(OpenSSL.Org):

    https://www.openssl.org/~bodo/ssl-poodle.pdf

    [编译自:TNW , via:BlogSpot]

    热门评论

    匿名人士 | 2014-10-15 11:33:20

    这有何难,用户自己看着源码打个补丁就好了,多简单的事

    支持:0 | 反对:0
     
Loading...