Prima volta accettato CaVp mittente scrive con un articolo su The Register un exploit che sembra influenzare tutti i browser e può decifrare una sessione attiva TLS. Dall'articolo: "I ricercatori hanno scoperto una grave debolezza in quasi tutti i siti web protetti dal sicuro livello di protocollo socket che consente agli aggressori di silenzio decrittografare i dati che è di passaggio tra un webserver e un utente finale del browser." Una full disclosure è in programma per Venerdì 23 Settembre alla conferenza Ekoparty. Si noti che questo riguarda solo SSL 2.0 e TLS 1.0, purtroppo maggior parte dei server web sono configurati per accettare ancora SSL 2.0 e TLS 1.1 e 1.2 hanno visto distribuzione limitata. La praticità dell'attacco rimane da definire (per uno che non è molto veloce, ma se l'intento è solo quello di decrittografare i dati per un uso successivo che non è un impedimento).
Per saperne di più di questa storia a Slashdot.
Nessun commento:
Posta un commento