Microsoft wyjaśnia problem błędu obsługi protokołu SSL.

Firma Microsoft oficjalnie zareagowała na zgłoszony przed kilkoma dniami
błąd Explorera w obsłudze protokołu SSL - podstawy handlu elektronicznego.
Ze wstępnej analizy problemu wynika, że nieprawidłowe rozpoznawanie
certyfikatu witryny - choć faktycznie ma miejsce - jest błędem "trudnym do
wykorzystania". Internetowy złodziej musiałby zachęcić użytkownika do
odwiedzenia spreparowanej witryny internetowej i przekonać go, że korzysta z
innego, godnego zaufania miejsca. Innym sposobem na uzyskanie podobnego
efektu mogłoby być "grzebanie" w urządzeniach sieciowych mające na celu np.
zmianę zawartości ("zatrucie") bufora DNS jednego z nich.

Oprócz trudności technicznych, przestępca musiałby także posłużyć się
autentycznym certyfikatem, a tego nie można uzyskać bez potwierdzenia
tożsamości - własnej lub "wspólnika". Innym czynnikiem ograniczającym zasięg
"ataku" jest możliwość samodzielnego sprawdzenia certyfikatu przez
internautę - dzięki jednej z funkcji przeglądarki może on dowiedzieć się,
kto potwierdza bezpieczeństwo "podejrzanej" witryny oraz czy dokument ten
dotyczy właściwej domeny.

W obecnej chwili Microsoft pracuje nad odpowiednią "łatką" na wspomnianą
dziurę. Co ciekawe, nie będzie to poprawka dla przeglądarki, a systemu
operacyjnego - okazało się bowiem, że błąd znajduje się w jednym z
interfejsów programowania aplikacji (API) Windows i dotyczy wersji "okien"
od NT 4.0 i 98 do XP
chip online
--

----
Amra the Freelancer
www.prnews.pl - swiat e-bankow

do góry

Użytkownik "AMRA" <a...@a...com> napisał w wiadomości
news:ajkr0g$h27$1@news.onet.pl...
> Microsoft wyjaśnia problem błędu obsługi protokołu SSL.
>
> Firma Microsoft oficjalnie zareagowała na zgłoszony przed kilkoma dniami
> błąd Explorera w obsłudze protokołu SSL - podstawy handlu elektronicznego.
> Ze wstępnej analizy problemu wynika, że nieprawidłowe rozpoznawanie
> certyfikatu witryny - choć faktycznie ma miejsce - jest błędem "trudnym do
Jasne, Paweł Krawczy jest geniuszem.

> wykorzystania". Internetowy złodziej musiałby zachęcić użytkownika do
> odwiedzenia spreparowanej witryny internetowej i przekonać go, że korzysta
z
[./...]

KJ

do góry

"AMRA" <a...@a...com> writes:

> Microsoft wyjaśnia problem błędu obsługi protokołu SSL.
>
> Firma Microsoft oficjalnie zareagowała na zgłoszony przed kilkoma dniami
> błąd Explorera w obsłudze protokołu SSL - podstawy handlu elektronicznego.
> Ze wstępnej analizy problemu wynika, że nieprawidłowe rozpoznawanie
> certyfikatu witryny - choć faktycznie ma miejsce - jest błędem "trudnym do
> wykorzystania". Internetowy złodziej musiałby zachęcić użytkownika do
> odwiedzenia spreparowanej witryny internetowej i przekonać go, że korzysta z
> innego, godnego zaufania miejsca. Innym sposobem na uzyskanie podobnego
> efektu mogłoby być "grzebanie" w urządzeniach sieciowych mające na celu np.
> zmianę zawartości ("zatrucie") bufora DNS jednego z nich.

Na tej samej zasadzie moznaby w ogole nie uzywac SSL, bo w koncu "zlamanie"
zwyklego HTTP wymaga mniej-wiecej tego samego.
--
Krzysztof Halasa
Network Administrator

do góry