xbartx <b...@h...net> writes:

> "Lada dzień, Thai Duong i Juliano Rizzo planują zademonstrować narzędzie
> o nazwie BEAST (Browser Exploit Against SSL/TLS) składające się z kodu
> JavaScript, który musi uruchomić ofiara oraz sniffera, który przechwytuje
> i rozszfrowuje zaszyfrowane ciasteczka, dając tym samym atakującemu
> nieautoryzowany dostęp do konta ofiary w danym serwisie internetowym
> korzystającym z HTTPS. Według twórców, atak zadziała także na serwery
> wykorzystujące HSTS (HTTP Strict Transport Security)."
>
> http://niebezpiecznik.pl/post/szyfrowanie-ssltls-1-0
-zlamane/
>
> Jeżeli okaże się to prawdą to ciężkie dni szykują się dla banków i nie
> tylko. Oj będzie się działo ;)

Na liście openssl-user twierdzą (nie wczytywałem się, więc mogę coś
przekręcić), że ta podatność jest znana dość długo, i że biblioteka ma
obejście do tego ("insertion of empty fragments"). I jeśli to nie jest
wyłączone opcją, to nie powinno się nic dziać.

Podkreślam - nie wczytwyalem się.
KJ

--
http://sporothrix.wordpress.com/2011/01/16/usa-sie-k
rztusza-kto-nastepny/
"Nie można wlecieć w trzecie tysiaclecie
na drzwiach od stodoły" - biskup polowy WP Sławoj Leszek Głódź.