Première fois acceptée CAVP expéditeur écrit un article dans le registre: un exploit qui semble affecter tous les navigateurs et peut déchiffrer une session active TLS. De l'article: "Les chercheurs ont découvert une grave faiblesse dans pratiquement tous les sites Web protégés par le protocole Secure Sockets Layer qui permet aux attaquants de silence, de décrypter les données qui passe entre un serveur web et un navigateur de l'utilisateur final." Une divulgation complète est prévue pour vendredi Septembre 23 à la conférence Ekoparty. Notez que cela affecte uniquement SSL 2.0 et TLS 1.0, mais malheureusement la plupart des serveurs web sont mal configurés pour toujours accepter SSL 2.0 et TLS 1.1 et 1.2 ont vu le déploiement limité. La pratique de l'attaque reste à déterminer (pour un, il n'est pas très rapide, mais si l'intention est juste de décrypter les données pour une utilisation ultérieure qui n'est pas un obstacle).
Lire la suite de cette histoire à Slashdot.
Aucun commentaire:
Enregistrer un commentaire