 Na konferencji BlackHat zaprezentowano now� form� ataku na protok� SSL. Nowy atak wykorzystuje fakt, �e u�ytkownicy rzadko kiedy u�ywaj� bezpiecznego po��czenia https, a cz�sto wykonuj� po��czenia niezabezpieczone.
Na BlackHat MarlinSike zaprezentowa�a atak Man in the Middle Proxy (z cz�owiekiem w �rodku) oraz odpowiedni program o nazwie SSLStrip. Program ten wykonuje transformacj� zapyta� HTTPS na HTTP. Po drugiej stronie znajduje si� program po�rednicz�cy, kt�ry ma za zadanie wykona� na serwerze wszystkie ��dania. Dane z serwera s� wysy�ane do klienta w spos�b niezaszyfrowany. W ten spos�b nawet nie dochodzi do po��czenia poprzez protok� SSL, a u�ytkownik nie wie co si� �wi�ci.
W nowym ataku nie wykorzystuje si� s�abo�ci protoko�u SSL, a luki w interfejsie protok�<->u�ytkownik.
�r�d�o: http://www.heise-online.pl/ |
