Σοβαρό κενό ασφαλείας στο web-κρυπτογράφησης

Η κρυπτογράφηση της κίνησης στο Διαδίκτυο είναι το κλειδί για την πρόληψη της άνευ αδείας πρόσβαση, μεταξύ άλλων, πληροφορίες σύνδεσης και άλλα ευαίσθητα δεδομένα που αποστέλλονται μεταξύ του υπολογιστή ενός χρήστη και ενός διακομιστή στο άλλο άκρο.


  Ως εκ τούτου, γίνεται ένα πρόβλημα αν δεν μπορεί να επικαλεστεί την λύση που μεριμνά για την κρυπτογράφηση. Αυτό φαίνεται τώρα να είναι η περίπτωση για την τεχνολογία Transport Layer Security (TLS), το οποίο χρησιμοποιείται για την κρυπτογράφηση πολλούς διαφορετικούς τύπους που βασίζονται στο Internet των υπηρεσιών, συμπεριλαμβανομένης της τηλεφωνίας IP, e-mail και εφαρμογών Web.  Το πρόβλημα θα ισχύει και για v3 SSL (Secure Sockets Layer) και άνω. TLS-SSLj
  Σε μια θέση blog γράφει Marsh Ray και ο Steve Ray παραιτηθεί ότι ήδη τον Αύγουστο του ανακάλυψε ένα bug στο TLS που επιτρέπει πολλαπλές μορφές "άνθρωπος στη μέση" επιθέσεις που έχουν σχέση με την επαναδιαπραγμάτευση. 

 Αυτό δίνει στον εισβολέα τη δυνατότητα να εισφέρει ένα αυθαίρετο αριθμό σαφές κείμενο στην αρχή του ρέματος πρωτοκόλλου της αίτησης.
  Ray και Dispenses έχει επικεντρωθεί σε αυτό που αυτό έχει να πει για το HTTPS (Hypertext Transfer Protocol Secure), δηλαδή το πρωτόκολλο που, μεταξύ άλλων, χρησιμοποιείται σε σχέση με τις τραπεζικές υπηρεσίες.  Σε ένα έγγραφο που περιγράφει τα διάφορα είδη επιθέσεων, συμπεριλαμβανομένου ενός όπου ο εισβολέας μπορεί να εκτελέσει μια προαιρετική πράξη HTTP, το οποίο επικυρώνεται από νόμιμο χρήστη.

  O Chris ερευνητής του Paget σχόλιο σχετικά με το θέμα σε αυτό το blog του. Πιστεύει ότι η ευπάθεια δεν έχουν μεγάλη σημασία σε σχέση με το HTTP, διότι δεν κάνουμε κάτι που έχει ήδη δυνατό μέσω άλλων μεθόδων.  Ωστόσο, η ευπάθεια επιτρέπει σε έναν εισβολέα να παρεμβαίνει με άλλους τύπους SSL / TLS-προστατεύονται δεδομένα κίνησης, για παράδειγμα, της κυκλοφορίας μεταξύ ενός διακομιστή βάσης δεδομένων και την αίτηση.  Paget αναφέρει επίσης ότι οι χιλιάδες των μηχανισμών για την ενημέρωση του λογισμικού εξαρτάται από το SSL.
Αυτή είναι μια παραβίαση του επιπέδου πρωτόκολλο, που απαιτεί μια αλλαγή στον τρόπο με το SSL και TLS λειτουργίες, προκειμένου να το επισκευάσουμε, γράφει Paget.

  Σύμφωνα με το ZDNet UK Βιομηχανίας Κοινοπραξία για την Πρόοδο της Ασφάλειας στο Διαδίκτυο (Icasi) έχουν κοινοποιηθεί Ray και απαλλάσσει σχετικά με τα πορίσματα.  Το ίδιο ισχύει και για την IETF (Internet Engineering Task Force) και μια σειρά από έργα ανοικτού κώδικα που είναι πίσω από τις υλοποιήσεις SSL.
  Το 29 Σεπτεμβρίου έως τις διάφορες ομάδες είχαν μια κοινή συνεδρίαση και να προτείνει τη δημιουργία ενός έργου, το Project Mogul, η οποία θα χειριστεί το πρόβλημα.  Το πρώτο έργο θα επικεντρωθεί στη δημιουργία ενός παράταση του πρωτοκόλλου.  Αλλά αυτό θα είναι μόνο μια προσωρινή λύση.  Έργο Mogul ήταν όμως επίσης το όνομα ενός πολύ-μίλησε έργο μπαλόνι με τον αμερικανικό στρατό.

  Ένα σχέδιο της παράτασης του προγράμματος μπορεί να βρεθεί  εδώ.
  Το πρόβλημα με τις αδυναμίες των πρωτοκόλλων είναι ότι πρέπει να αντιμετωπιστούν σε οποιοδήποτε λογισμικό που χρησιμοποιεί το πρωτόκολλο.  Δεν υπάρχει κέρδος στην προκειμένη περίπτωση, και αυτό μπορεί να διαρκέσει μεγάλο χρονικό διάστημα πριν από όλα έχουν ενημερωθεί και τυλιγμένος έξω.