Разработчики браузеров готовятся к атакам на SSL

Очень скоро будут раскрыты подробности работы программы под названием BEAST, которая, по заявлению её создателей, может успешно расшифровывать криптографические протоколы SSL 3.0 и TLS 1.0. В этой связи разработчикам браузеров и владельцам веб-сайтов придётся срочно принимать какие-то меры для сохранения безопасности своих продуктов и сервисов.

Разработчикам браузеров, на первый взгляд, проще всего было бы реализовать поддержку более новых версий протоколов - TLS 1.1/1.2, поскольку они являются устойчивыми к атаке BEAST. Однако абсолютное большинство веб-сайтов эти версии протоколов шифрования просто не поддерживают.

Как обнаружили исследователи из компании Opera, только 0.25% сайтов поддерживают TLS 1.1, TLS 1.2 поддерживают 0.02%. Несмотря на то, что спецификации TLS 1.1/1.2 были разработаны достаточно давно, поддержка этих протоколов в некоторых популярных браузерах всё ещё не реализована. Это создаёт проблему для владельцев сайтов, которые хотели бы обновиться, но из-за боязни потерять клиентов делать этого не хотят.

На сегодняшний день поддержкой TLS 1.1/1.2 обладают лишь браузеры Opera, начиная с десятой версии, и Internet Explorer, начиная с восьмой версии в Windows 7.

Разработчики Opera уже создали заплатку для своего браузера, которая должна воспрепятствовать атаке BEAST, но затем обнаружили, что из-за этой заплатки некоторые сайты оказались в Opera неработоспособны, и решили не включать эту заплатку в следующую финальную версию. Согласно данным Threat Post, Google также разрабатывает некоторые меры для закрытия уязвимости в браузере Chrome и опасается, что хакерская активность вынудит их произвести принудительный релиз новой версии раньше срока. На данный момент Chrome TLS 1.1/1,2 не поддерживает. Mozilla Firefox также не поддерживает эти протоколы. При этом о планах разработчиков Firefox реализовать их поддержку пока ничего не известно.

Тьерри Золлер, эксперт по безопасности из компании G-SEC, предлагает разработчикам ряд мер, которые должны обезопасить банковские операции. Среди них упоминаются следующие:

  • в качестве шифра следует использовать метод эллиптических кривых
  • в качестве алгоритма шифрования следует использовать AES
  • минимальная длина ключа для шифрования должна составлять 128 бит
  • поддержку SSL 2.0/3.0 следует полностью исключить

Простым пользователям на данный момент остаётся только гадать, как скоро хакеры смогут воспользоваться обнаруженной уязвимостью, и ждать своей участи.

Telegram-канал @overclockers_news - это удобный способ следить за новыми материалами на сайте. С картинками, расширенными описаниями и без рекламы.
Оценитe материал
рейтинг: 3.9 из 5
голосов: 14

Возможно вас заинтересует

Сейчас обсуждают