اكتشف حديثا تشفير الويب خطأ في SSL 3.0 يمكن أن يسبب الهجوم "القلطي"
قالت شركة جوجل يوم الثلاثاء ان الضعف الحرجة في تصميم SSL3.0 يمكن أن يؤدي إلى القلطي الهجوم. الخطأ الذي تم اكتشافه من قبل ثلاثة من الباحثين شركة جوجل يسمح للنص عادي (غير مشفرة) لتأمين وصلات تحسب بواسطة مهاجم الشبكة التي يمكن أن تسمح للمهاجم محتمل لسرقة البيانات.
ما هو SSL 3.0؟
3.0 SSL هو بروتوكول عفا عليها الزمن وغير آمنة تستخدم لتشفير الويب، مع SSL 3.0 الراهن ما يقرب من 15 عاما تم استبداله خلفها TLS 1.0، TLS 1.1، و TLS 1.2. ومع ذلك لا تزال تستخدم على نطاق واسع SSL 3.0. لا تزال العديد من تطبيقات TLS الوراء متوافقة مع SSL 3.0 للتعامل مع النظم القديمة في مصلحة تجربة المستخدم على نحو سلس. توفر مصافحة بروتوكول للنسخة مصادق التفاوض، لذلك عادة أحدث إصدار بروتوكول مشترك للعميل وسيتم استخدام الخادم. ومع ذلك، حتى لو كان كل من العميل والخادم يدعم الإصدار من TLS، مستوى الأمان التي تقدمها SSL 3.0 لا يزال ذات الصلة منذ تنفيذ العديد من العملاء لخفض الرقص بروتوكول كمحاولة للتغلب على الخلل جانب الخادم قابلية التشغيل البيني. للمشورة الأمن جوجل يناقش كيف يمكن للمهاجمين استغلال الرقص خفض وكسر التشفير من الأمن SSL 3.0
هجوم كلب (الحشو أوراكل في خفض تراث التشفير)
هجوم بتابع يسمح للمهاجمين لسرقة "تأمين" كوكيز HTTP، إذن الرموز وغيرها من البيانات من الضحية. الخلل يكمن في SSL3.0 العتيقة التي هي الأكثر شيوعا لا تستخدم هذه الأيام، ولكن أكان من اتصال فشل الناجمة عن مهاجم الشبكة سوف المتصفحات مع بروتوكولات جديدة تحاول أيضا كبار السن بما في ذلك إصدار بروتوكول SSL 3.0
للعمل مع الخوادم تراث، العديد من العملاء TLS تنفيذ رقصة تقليله، في محاولة المصافحة الأولى، وتقديم أعلى إصدار بروتوكول المدعومة من قبل العميل، إذا فشلت هذه المصافحة، إعادة المحاولة مع الإصدارات القديمة البروتوكول. على عكس السليم التفاوض إصدار بروتوكول (إذا كان العميل يقدم TLS 1.2، قد يستجيب الملقم مع، مثلا، TLS 1.0)، وهذا التخفيض يمكن أيضا أن تكون ناجمة عن أعطال الشبكة، أو عن طريق المهاجمين النشط. لذلك، وقالت جوجل إن أحد المهاجمين الذي يتحكم في شبكة الاتصال بين العميل والخادم يتداخل مع أي محاولة مصافحة تقديم TLS 1.0 أو في وقت لاحق.
الحل أو التخفيف
وقالت جوجل أن تعطيل دعم SSL 3.0 أو الأصفار CBC الوضع مع SSL 3.0، غير كافية للتخفيف من القضية ولكن يمكن أن تسبب مشاكل التوافق كبيرة.
إصلاح دائم لهذه المشكلة هو إضافة "دعم TLS_FALLBACK_SCSV" مما يساعد على حل مشكلة تحاول المصافحة مع الإصدارات القديمة البروتوكول في حالة فشل الاتصال. وبالتالي منع المتصفح لاستخدام كبار السن عفا عليها الزمن SSL 3.0.والتي سوف يمنع أيضا خفضه من TLS 1،2-1،1 أو 1.0 وذلك قد يساعد في منع الهجمات المستقبلية،
وقد دعمت خوادم Google بما في ذلك غوغل كروم TLS_FALLBACK_SCSV منذ فبراير 2014 والتي يمكن استخدامها للحد من أي مشاكل التوافق. ومع ذلك، ستبدأ جوجل كروم اختبار التغييرات اليوم أن تعطيل تراجع إلى SSL 3.0. والتي قد كسر بعض المواقع وسوف تحتاج تلك المواقع ليتم تحديثه بسرعة.
وقالت جوجل انها سيتم إزالة تماما دعم SSL 3.0 من المنتجات عملائها في الأشهر المقبلة.
يمكنك التحقق إذا كنت عرضة لمصافحة الملقب القلطي SSL 3.0 على هذا الموقع . إذا كان هذا الموقع فتح مع صورة الكلب الربيع، الشبكة آمنة ولكن إذا كان يفتح مع صورة ل"القلطي"، كنت ضعيفة.
0 التعليقات