Tenhle pudl kouše. Po Heartbleedu je tu další díra v SSL – Poodle

Google upozornil na další bezpečnostní díru v šifrovacím protokolu SSL, která útočníkům umožňuje získat informaci z cookies uživatelů.

Trojice výzkumníků společnosti Google včera odhalila bug Poodle „Padding Oracle On Downgraded Legacy Encryption“ a tento pudl opět vyděsil správce webů po celém světě.

Zabezpečení SSL 3 je již 15 let staré, a jeho dopad proto není tolik drtivý jako v případě hrozeb Heartbleed nebo Shellshock, nicméně velké množství webů toto zabezpečení stále využívá nebo alespoň dovoluje jeho využití v případě, že není možné využít novější verze.

Protokol SSL chrání komunikaci mezi uživatelem a internetovou stránkou, většina uživatelů jej zná v podobě zeleného indikátoru v příkazovém řádku prohlížeče, který signalizuje, že se nachází v bezpečné zóně HTTPS.

Útočníci mají tedy dvě možnosti, jak zranitelnosti SSL 3 využít. Buď se jim podaří zmanipulovat cílový web, aby umožnil alternativní šifrování pomocí SSL 3. Druhým způsobem je provedení klasického “man in the middle” útoku, například pomocí falešné WiFi sítě v nákupním centru nebo kavárně.

Pokud se uživatelé do bezdrátové sítě útočníka připojí, může pak za využití Poodle chyby získat obsah uživatelovy cookie, ze které může získat například jména a hesla k emailovým účtům, účtům na sociálních sítích nebo přístupové údaje do internetového bankovnictví.

KL_NOMINACE

Google vyzval správce sítí, aby podporu staré verze zabezpečení SSL 3 ze svých webů odstranili a nadále nevyužívali. Na rozdíl od zmíněného bugu Heartbleed, který ohrozil dvě třetiny světových webů, z nichž k nápravě řada přistoupila až po měsících po jeho zveřejnění, zabezpečení proti Poodle by mělo být rychlejší.

Google již aktualizací svého prohlížeče Chrome ukončil podporu zabezpečení SSL 3 a předpokládá se, že ho budou v podobě automatické aktualizace následovat i konkurenční prohlížeče Firefox (Mozilla), Internet Explorer (Microsoft) a Safari (Apple).

1 názor Vstoupit do diskuse
poslední názor přidán 15. 10. 2014 20:13

Školení Google Analytics pro pokročilé

  •  
    Jak využít nové funkce Google Analytics
  • Vyhodnocování pomocí Multichannel funnels
  • Neopakujte chyby při vyhodnocování dat.

Informace o školení Google Analytics pro pokročilé »