Dimidium situs quorum numerus augetur. Protocollum periculum negotiationis interceptionis minuit, sed impetus conatus talis non tollit. Loquemur de quibusdam eorum - PALUTA, BALBA, SUBMERTUS et alii, et modos tutelae in materia nostra.
/Flickr/ / CC BY-SA
POODLE
Primum de oppugnatione notum factum est in MMXIV. vulnerabilitas in SSL 2014 protocollo deprehensa est per informationes securitatis Bodo MΓΆller et collegarum de Google specialitas inventa.
Essentia eius est haec: clientem cogat piratica per SSL 3.0 coniungere, nexum aemulantem frangere. Inde perquirit in encrypted -traffic tag epistulae speciales modus. Per seriem fictarum petitionum, oppugnator contenta usurarum usoris, sicut crustulum, restituere potest.
SSL 3.0 est iamnon protocollum. Sed quaestio salutis eius adhuc pertinet. Clientes ea utuntur ad convenientiam vitandam quaestiones cum ministris. Secundum quosdam notitias circiter 7% centum milium situum popularium . etiam modificationes ad POODLE qui recentiores TLS 1.0 et TLS 1.1 oppugnant. Hoc anno novus Zombie POODLE et GOLDENDOODLE oppugnat qui TLS 1.2 praesidio (adhuc cum encryptione CBC coniungitur).
Quomodo te defendas. In casu originalis POODLE, debes disable SSL 3.0 subsidium. Sed hoc casu periculum est compatibilitatis problematum. Vel solutio potest esse mechanismum TLS_FALLBACK_SCSV - efficit ut notitia permutationis per SSL 3.0 modo cum systematibus vetustioribus exerceatur. Impugnatores non amplius protocollum downgraduum inchoare poterunt. Via contra Zombie POODLE et GOLDENDOODLE muniendi est ut inactivare CBC subsidium in TLS 1.2 applicationibus fundatum sit. Cardinalis solutio transitus ad TLS 1.3 erit - nova protocolli versio encryptione CBC non utitur. Loco durabilius AES et ChaCha20 adhibentur.
BELLUA
Una primorum impetus in SSL et TLS 1.0, anno 2011 detecto. Sicut Poodle, BEST lineamenta CBC encryption. Impugnatores install a JavaScript agente aut Java applet in machina clientis, quae substituit nuntios cum notitia transmittendi super TLS vel SSL. Cum oppugnatores cognoscunt contenta "dummy" fasciculorum, iis uti possunt vectorem initializationem minuere et alias epistulas ministranti legere, sicut crustulum authenticas.
Sicut hodie, BESTIA vulnerabilitates manent : Procurator ministrantium et applicationes ad portas Internet locales tutandas.
Quomodo te defendas. Percussor postulationes regulares mittere debet minutum notitia. in VMware reducere durationem SSLSessionCacheTimeout ex quinque minutis (default commendaticiis) ad 30 seconds. Hic aditus difficiliorem reddet oppugnatoribus ad sua consilia exsequenda, quamquam aliquam negativam obtinebit effectum. Praeterea, debes intelligere bestiam vulnerabilitatem posse cito fieri res praeteriti per se, cum 2020, maximae navigatores. support for TLS 1.0 and 1.1. Ceterum, minus quam 1,5% omnium usorum navigantium cum his protocolla laborant.
DEMITTO
Haec protocollo crux est impetus qui res gestae cimices in exsequenda SSLv2 cum 40 frenum RSA clavium sunt. Oppugnator auscultat centenas TLS scopo nexus et speciales facis fasciculos mittit servo SSLv2 eadem clave privata. utens Piratica potest minui unum circiter mille clientium TLS sessionum.
SUBMISSUS primum in anno 2016 notum est β deinde evenit ut in orbem. Hodie momentum suum non amisit. Ex 150 milibus locis popularibus, 2% adhuc sunt SSLv2 et nudi encryption machinationes.
Quomodo te defendas. Necesse est ut resarcias instituas propositas ab machinis bibliothecarum cryptographicarum quae subsidium SSLv2 disable. Exempli gratia: duo huiusmodi inaequalitates pro OpenSSL (anno 2016) allatae sunt 1.0.1s et 1.0.2g). Etiam, renovationes et instructiones ad inactivare protocollum vulnerabile publici iuris factae sunt , , .
"Responsio vulnerari potest submergi si claves eius cum SSLv2 adhibentur a ministro tertiae factionis, ut servo mail", caput evolutionis department notat. Sergei Belkin. β Haec res incidit si plures servientes communi SSL certificatorio utantur. In hoc casu, necesse est ut omnium machinarum subsidium SSLv2 disable".
Potes inspicias an ratio tua renovanda sit utendo speciali β progressa est per informationes speciales securitatis, qui demersi reperti sunt. Plura legere potes de commendatione ad tutelam contra hoc genus oppugnationis pertinentia .
Heartbleed
Una maxima vulnerabilities in software est . Inventum est anno 2014 in bibliotheca OpenSSL. In tempore cimex denuntiatio, numerus websites vulnerabilis - Hoc circiter 17% copiarum tutarum in ornatum retis est.
Impetum impletur per extensio cordis minoris TLS moduli. Protocollum TLS requirit ut notitia continue transmittatur. In casu temporis longioris, continuatio fit et nexus restituendus est. Ad quaestionem obire, servientes clientesque artificiose "strepitum" alveum () latum fasciculum incerti longitudinis. Si maior erat quam fasciculus totus, tunc vulnerabiles versiones OpenSSL lege memoriae quiddam ultra datum est. Haec regio notitias quaslibet continere potuit, inter claves encryptiones privatas et informationes circa alias nexus.
Vulnerabilitas intererat in omnibus versionibus bibliothecae inter 1.0.1 et 1.0.1f inclusive, tum in pluribus systematibus operantibus - Ubuntu usque ad 12.04.4, CentOS antiquior 6.5, OpenBSD 5.3 et aliis. Est completum album . Quamvis inaequaliter contra hanc vulnerabilitatem dimissi paene statim post eius inventionem, quaestio adhuc hodie ad rem pertinet. Retro in 2017 susceptibilis ad Heartbleed.
Quomodo te defendas. opus ad 1.0.1g seu superiore version. Petitiones cordis pulsationis inactivare etiam potes optione DOPENSSL_NO_HEARTBEATS manuali utendo. Post renovationem, informationes securitatis elit SSL libellorum reissue. Subrogetur necesse est si clavium notitia in encryption desinat in manus hackers.
Testimonium substitutionis
Nodus administrata cum legitimo SSL certificatorio inter usorem et ministrum instituitur, negotiatio active intercipiens. Haec nodi legitimum servo personat testimonium validum exhibens, et fieri potest ut impetum MITM expleat.
secundum Partes Mozillae, Google et aliquot universitates, circiter 11% securae nexus in retis subsidentur. Hoc est effectus enucleare suspectum radicis libellorum in computers utentium.
Quomodo te defendas. Officia certa utere . Vos can reprehendo "qualitas" testimoniorum utens servitio (CT). Provisores nubes etiam adiuvant ad detectionem auscultationem, nonnullae societates magnae iam instrumenta specialia praebent ad hospites vigilantes TLS.
Alius modus tutelae novus erit ACME, quae automates recepto libellorum SSL. Eodem tempore machinas alias addet ut possessorem situs verificetur. De eo .
/Flickr/ / CC BY
Expectationes HTTPS
Quamvis plures vulnerabilitates, IT gigantes et periti securitatis informationes in futuro protocollo confidunt. Ad active exsecutionem HTTPS WWW creator Tim Berners-Lee. Secundum eum, super tempus TLS securior fiet, qui signanter securitatem hospitum emendavit. Berners-Lee etiam suggessit client testimonium per identitatem authenticas. Ab oppugnatoribus ad meliorem tutelam servabuntur.
Propositum etiam est ut SSL/TLS technologiam machinam discendi utendi - calliditatis algorithms eliquare malivolos mercaturae reus erit. Cum HTTPS nexus administratores nullo modo habent contenta nuntiis encryptatis invenire, inter petitiones malware detectas. Iam hodie retiacula neuralis potentia periculosa cum 90% accuratione eliquare possunt. ().
Inventiones
Plurimi impetus in HTTPS non ad difficultates cum ipso protocollo referuntur, sed ad machinas encryptiones iam pridem adiuvandas. In IT industria incipit paulatim generationis protocolla deserere et nova instrumenta praebere ad vulnerabilitates quaerendas. In posterum haec instrumenta magis magisque intelligentes fient.
Additional nexus in re:
Source: www.habr.com