Google發(fā)布研究報告: SSL 3.0協(xié)議存在漏洞 或被黑客攻擊利用
責編:admin |2014-10-15 16:38:29事實證明,人們依賴已久的互聯(lián)網(wǎng)通信協(xié)議——安全套接層(SSL)——已經(jīng)曝出了一個漏洞。根據(jù)Google研究人員公布的報告,SSL 3.0協(xié)議中存在一個bug,可被黑客用于截取客戶機和服務(wù)器之間進行加密的關(guān)鍵數(shù)據(jù)。該漏洞首選允許攻擊者發(fā)起降級攻擊,即欺騙客戶端說服務(wù)器不支持更安全的安全傳輸層(TLS)協(xié)議,然后強制其轉(zhuǎn)向使用SSL 3.0。
在強制客戶端采用SSL 3.0與服務(wù)器進行通訊之后,黑客就可以利用中間人攻擊來解密HTTPs的cookies。Google將方式稱作POODLE攻擊(Padding Oracle On Downgraded Legacy Encryption)。
簡而言之,若受到攻擊,你的數(shù)據(jù)將不再加密。鑒于目前沒有更好的解決方案,Google研究人員Bodo M?ller、Thai Duong、以及Krzysztof Kotowicz只得強烈建議客戶和服務(wù)器雙方均禁用SSL 3.0。
如此一來,服務(wù)器和客戶端將默認啟用更安全的TLS協(xié)議。Google表示將在后續(xù)更新中移除旗下所有產(chǎn)品的SSL 3.0支持。事實上,該公司早已放出了一個禁用SSL 3.0的Chromium補丁。
- 周鴻祎領(lǐng)銜!百所高校+企業(yè)組團亮相ISC.AI 2025“紅衣課堂”
- 港科大發(fā)布大模型越獄攻擊評估基準,覆蓋6大類別37種方法
- 引領(lǐng)智能運維!全新FortiAIOps 3.0重新定義IT運營
- MirageFlow:一種針對Tor的新型帶寬膨脹攻擊
- 英偉達約談事件的制度邏輯與趨勢展望
- 國家互聯(lián)網(wǎng)信息辦公室發(fā)布《國家信息化發(fā)展報告(2024年)》
- 火狐中國終止運營:辦公地無人,用戶賬號數(shù)據(jù)面臨清空
- 25年一直未變!網(wǎng)絡(luò)安全永恒的“十大法則”
- 關(guān)于征集數(shù)據(jù)安全評估標準化應(yīng)用實踐案例的通知
- ISC.AI 2025主題前瞻:ALL IN AGENT,全面擁抱智能體時代!