Ένα νέο πρόβλημα ασφαλείας που εντόπισε η Google κάνει ευάλωτη τη μη κρυπτογραφημένη επικοινωνία σε μια ασφαλή σύνδεση server-browser όταν χρησιμοποιείται το παλαιότερο πρωτόκολλο SSL 3.0.
Το νέο κενό που η Google ονόμασε "POODLE," Padding Oracle On Downgraded Legacy Encryption, δίνει τη δυνατότητα στον επιτιθέμενο με χρήση man in the middle, να αποκρυπτογραφήσει τα HTTP cookies και να αποκτήσει πρόσβαση στα στοιχεία σύνδεσης που αποθηκεύονται σε αυτά.
Αν και το SSL 3.0 είναι άνω των 15 ετών συνεχίζει να υποστηρίζεται από τους servers και browsers ως fallback πρωτόκολλο στις περιπτώσεις που σύγχρονες κρυπτογραφήσεις όπως το TLS αποτύχουν να συνδεθούν ή ο επιτιθέμενος αναγκάσει τη σύνδεση να γίνει με το ευάλωτο SSL 3.0.
Σύμφωνα με την Google η μόνη αντιμετώπιση, αφού δεν υπάρχει κάποια εύχρηστη λύση, είναι η διακοπή της υποστήριξής του και η ρύθμιση των servers/browsers να μην αποδέχονται συνδέσεις με αυτό μέσω του μηχανισμού TLS_FALLBACK-SCSV, κάτι που έχει ήδη κάνει η Google στον Chrome και την δική της υποδομή από το Φεβρουάριο.
Είναι άγνωστο αν και σε τι βαθμό έχει γίνει εκμετάλλευση του "νέου" κενού ασφαλείας, καθώς αυτό εντοπίστηκε από την Google στη δική της υποδομή.
Εμφάνιση 1-15 από 34
-
15-10-14, 10:57 Η Google εντοπίζει κενό ασφαλείας στο SSL 3.0 #1
- Εγγραφή
- 22-09-2003
- Μηνύματα
- 82.114
- Downloads
- 218
- Uploads
- 48
- Άρθρα
- 6
- Τύπος
- VDSL2
- Ταχύτητα
- 204800/20480
- ISP
- Wind
- Router
- Technicolor DGA4130
- SNR / Attn
- 6(dB) / 2.8(dB)
- Path Level
- Interleaved
-
15-10-14, 11:48 Απάντηση: Η Google εντοπίζει κενό ασφαλείας στο SSL 3.0 #2
Mα καταντησανε αηδια πια.Αυτοι οι προγραμματιστες,δεν ειναι προγραμματιστες,αλλα Ελβετικοι σουγιαδες.Εχουν γεμισει τα πρωτοκολλα τρυπες.Σουρωτηρι τα εχουν κανει,κοσκινο.Καιρος ή αν προτιματε ευκαιρια για μια νεα αρχη στα διαφορα πρωτοκολλα.Αντε να τελειωνουμε.
[SIGPIC][/SIGPIC]
-
15-10-14, 11:51 Απάντηση: Η Google εντοπίζει κενό ασφαλείας στο SSL 3.0 #3
Εμείς οι καλοί οι Google !..
-
15-10-14, 12:08 Απάντηση: Η Google εντοπίζει κενό ασφαλείας στο SSL 3.0 #4
-
15-10-14, 12:13 Απάντηση: Η Google εντοπίζει κενό ασφαλείας στο SSL 3.0 #5
Το βρήκες ! Σωστός !
Για το καλό μου ....
-
15-10-14, 12:28 Απάντηση: Η Google εντοπίζει κενό ασφαλείας στο SSL 3.0 #6
Το δημοσιοποιεί η Google : "κακιά η Google". Το αποκρύπτει η Google : "κακιά η Google". Αυτό στην ψυχιατρική ονομάζεται Ιδεοψυχαναγκαστική Διαταραχή. Περαστικά σας.
- - - Updated - - -
Περισσότερες λεπτομέρειες εδώ.
Workaround για web browsers εδώ.Τελευταία επεξεργασία από το μέλος purpleaura : 15-10-14 στις 16:23.
-
15-10-14, 14:57 Απάντηση: Η Google εντοπίζει κενό ασφαλείας στο SSL 3.0 #7
Θα μπορούσε να κάνει απλά την δημοσιοποιήσει ....χωρίς καν να πει τι κάνει η ίδια !
Αυτό που έκανε είναι κλασσικό μερκετίστικο κόλπο !
Αυτό που ενοχλεί δεν είναι η δημοσιοποιήση του πράγματος αλλά όλο το υπόλοιπο που δείχνει απλά ότι έκανε το έκανε απλά για να φανεί καλή αυτή ...
Περαστικά σου που δεν το καταλαβαίνεις .
-
15-10-14, 15:20 Απάντηση: Η Google εντοπίζει κενό ασφαλείας στο SSL 3.0 #8
-
15-10-14, 15:33 Απάντηση: Η Google εντοπίζει κενό ασφαλείας στο SSL 3.0 #9
Καταρχήν εμπάθεια προς εσένα δεν έχω ... αλλά ούτε προς την Google ! Απλός με ενοχλούν τα φτηνά μαρκετίστικα κόλπα που αποσκοπούν απλά στην ενίσχυση της εικόνας "Οι καλοί" χωρίς να είναι στην πραγματικότητα ! Και όλα στην τελική έχουν το κέρδος !
Οι χαζοί και οι άσχετοι θα το πιστέψουν όπως δέχονται και χάβουν ότι τους σερβίρουν μη μπορώντας να διακρίνουν την πραγματικότητα και άντε με μετά να εξηγήσεις ..... και στο τέλος βγαίνεις και κακός ή εμπαθείς !
Πάντως εμπάθεια δεν έχω ! Και στα λεγόμενα μου δεν συμπεριλαμβάνεσαι εσύ !
-
15-10-14, 16:01 Απάντηση: Η Google εντοπίζει κενό ασφαλείας στο SSL 3.0 #10
Προφανώς κερδίζει πολλά που αποκάλυψε ένα κενό ασφαλείας σε OPEN SOURCE software. Είναι πραγματικά αστείο (αν όχι τραγικό) να τα βλέπετε όλα μέσω των γραπτών του Marx και του Engels. Αυτό και αν είναι Ιδεοψυχαναγκαστική Διαταραχή. Ασχολήσου και λίγο με την ουσία (που δυστυχώς για εσένα δεν μπορεί να βρέθει μέσα στο " Das Kapital).
-
15-10-14, 16:18 Απάντηση: Η Google εντοπίζει κενό ασφαλείας στο SSL 3.0 #11
-
15-10-14, 16:20 Απάντηση: Η Google εντοπίζει κενό ασφαλείας στο SSL 3.0 #12
-
15-10-14, 16:24 Απάντηση: Η Google εντοπίζει κενό ασφαλείας στο SSL 3.0 #13
-
15-10-14, 16:31 Απάντηση: Η Google εντοπίζει κενό ασφαλείας στο SSL 3.0 #14
-
15-10-14, 19:57 Απάντηση: Η Google εντοπίζει κενό ασφαλείας στο SSL 3.0 #15
Απ' όσο μπορώ να καταλάβω, η επίθεση άφορα το πρωτόκολλο, όχι κάποια συγκεκριμένη υλοποίηση.
Στην συγκεκριμένη περίπτωση πάντως, η καχυποψία απέναντι στην google είναι τουλάχιστον υπερβολική. Η google ενδιαφέρεται για το SSL/TLS, τόσο γιατί το χρησιμοποιεί στα προϊόντα της, όσο και γιατί συνεισφέρει κωδικά σε υλοποιήσεις του.It is wrong to put temptation in the path of any nation,/For fear they should succumb and go astray;
So when you are requested to pay up or be molested,/You will find it better policy to say: --
"We never pay any-one Dane-geld,/No matter how trifling the cost;
For the end of that game is oppression and shame,/And the nation that plays it is lost!"
Rudyard Kipling
Παρόμοια Θέματα
-
Κενό ασφαλείας στο Android εκθέτει σε κίνδυνο την πλειοψηφία των χρηστών του
Από nnn στο φόρουμ ΕιδήσειςΜηνύματα: 11Τελευταίο Μήνυμα: 30-07-14, 20:41 -
Σοβαρό κενό ασφαλείας στο OpenSSL
Από SfH στο φόρουμ ΕιδήσειςΜηνύματα: 75Τελευταίο Μήνυμα: 05-06-14, 19:04 -
Πολύ σοβαρό κενό ασφαλείας εντοπίζεται στα OAuth 2.0 και OpenID
Από nnn στο φόρουμ ΕιδήσειςΜηνύματα: 18Τελευταίο Μήνυμα: 05-05-14, 22:11 -
Η Google ενισχύει την ασφάλεια στο Android με συνεχή έλεγχο των εκτελούμενων εφαρμογών για κακόβουλη λειτουργία
Από nnn στο φόρουμ ΕιδήσειςΜηνύματα: 13Τελευταίο Μήνυμα: 01-05-14, 22:58 -
Η Google κλείνει ένα πολύ σοβαρό κενό ασφαλείας του Gmail password recovery
Από nnn στο φόρουμ ΕιδήσειςΜηνύματα: 19Τελευταίο Μήνυμα: 02-12-13, 16:52
Bookmarks