-Рубрики

 -Подписка по e-mail

 

 -Поиск по дневнику

Поиск сообщений в AHDPEiTheFox

 -Статистика

Статистика LiveInternet.ru: показано количество хитов и посетителей
Создан: 02.09.2007
Записей: 721
Комментариев: 609
Написано: 3347


IE, Chrome и Safari одурачены поддельным SSL-сертификатом PayPal

Вторник, 06 Октября 2009 г. 18:56 + в цитатник
Если во время проведения платежей через PayPal ты используешь Internet Explorer, Google Chrome или Apple Safari для Windows, самое время задуматься о переходе на более безопасный Firefox.

А все потому, что вчера один из хакеров опубликовал фальшивый SSL-сертификат, эксплуатирующий зияющую дыру в библиотеке CryptoAPI от Microsoft, с которой работают эти браузеры. Хотя сертификат поддельный, все три веб-обозревателя принимают его за легитимный SSL-сертификат, подтверждающий подлинность PayPal. Несмотря на то, что данный баг был продемонстрирован Мокси Марлинспайком более девяти недель назад, в Microsoft его все еще не закрыли.

Опубликованный в понедельник так называемый "нуль-префикс сертификат" для PayPal – это серьезный удар по сетевой безопасности, поскольку теперь киберпреступники могут с легкостью преодолевать одну из самых старейших и надежных систем защиты от атак "man-in-the-middle". PayPal и тысячи других финансовых веб-сайтов используют такие сертификаты для генерирования цифровой подписи, подтверждающей, что страница авторизации не была подсунута пользователю злоумышленниками, следящими за его попытками получить доступ к тому или иному ресурсу.

Несмотря на то, что опубликованный в понедельник сертификат является демонстративно фальшивым, его все равно можно использовать вместе с выпущенной ранее хакерской утилитой SSLSniff и добиться того, что браузеры не будут выдавать никакого предупреждения при переходе на подставную страницу, даже если ее адрес начинается с "https".

Представитель PayPal уже заявила о том, что в компании знают о существовании поддельного сертификата и работают над тем, чтобы предпринять все те действия, которые могут быть предприняты со стороны PayPal.

Последний сертификат использует уязвимость в CryptoAPI, позволяющую игнорировать все знаки, следующие за символами "\" и "0". Чтобы воспользоваться дырой, злоумышленнику нужно получить обычный сертификат своего сайта, а затем вставить его имя и символ "0" сразу же после названия ресурса, за который он желает выдать нужный ему веб-сайт.

В случае с PayPal строка будет выглядеть примерно так:

www.paypal.com\0ssl.secureconnection.cc

К счастью, разработчики из Mozilla пропатчили эту дыру уже через несколько дней после того, как о ней было рассказано на конференции BlackHat, а спустя несколько недель то же самое проделали и программисты Apple. Это значит, что если ты используешь Windows, то на данный момент единственным способом защитить себя от этого критического бага будет переход на Firefox 3.5 или 3.0.13 и выше. По крайней мере, пока Microsoft не устранит проблему.
Метки:  

alina0584   обратиться по имени Вторник, 06 Октября 2009 г. 19:13 (ссылка)
на Firefox 3.5.2, если точнее.
Старая, избитая истина - не завись от чужого кода или от кода, который ты не знаешь. Опера именно поэтому неуязвима для этого бага - потому что код весь самописный. В Файрфокс - то же самое.
Ответить С цитатой В цитатник
 

Добавить комментарий:
Текст комментария: смайлики

Проверка орфографии: (найти ошибки)

Прикрепить картинку:

 Переводить URL в ссылку
 Подписаться на комментарии
 Подписать картинку