Сегодня стало известно о новой атаке на протокол SSLv3. Это один из самых распространенных протоколов безопасного соединения, применяемый уже около 15 лет. Сейчас он используется в основном для совместимости со старыми версиями браузеров (преимущественно IE6).
Используя обнаруженную уязвимость, злоумышленники могут принудить клиентское ПО к смене версии протокола на более раннюю SSLv3, после чего злоумышленник сможет расшифровать Cookie - заголовок HTTP-запросов, используемый для аутентификации многими веб-сайтами.
Вместе с обнаруженными несколько лет назад атаками BEAST и Lucky 13 новая атака фактически вынуждает прекратить использование протокола SSLv3 как небезопасного. В случае невозможности отказа от поддержки протокола SSLv3 для пользователей систем, где безопасность достигается с использованием openssl, рекомендуется применить патч, препятствующий переключению на протокол SSLv3.
г. Москва, улица 8 марта, дом 1, строение 12 (БЦ Трио, первая башня)
+7 495 730-2969 info@tcinet.ru
+7 495 730-2970