Tentokrát se chyba netýká konkrétní implementace protokolu SSL, ale vlastního protokolu. Protokol SSL se používá v zabezpečení komunikace mezi klientem a serverem nebo dvěma servery. Týká se také TLS a HTTPS. O co jde?
Minulý týden Anil Kormus demonstroval, jak chyba v SSL prokolu může být použita k přechytračení obětí k odeslání Twitter zprávy, která obsahuje informace o jejich hesle. Aby bylo možné chybu zneužít, hacker se musí dostat do sítě oběti a spustit to, čemu se říká útok man-in-the-middle. Je proto obtížné napadnou velké množství Twitter uživatelů touto metodou. Problém byl u Twitteru opraven, nicméně mnoho bezpečnostních expertů se obává, kolik další web stránek může trpět podobným problémem.
Konsorcium internetových společností se podařilo neúmyslně publikovat tuto chybu na veřejné diskuzní skupině. Byly zde však debaty ohledně závažnosti této chyby. Krátce po té co byl zveřejněna chyba, Tom Cross z IBM tvrdil, že většina webových aplikací nebude chybou zasažena. Později změnil Cross názor a publikoval zprávu, že situace je horší než si myslel.
Twitter.com byl náchylný na tuto chybu, protože používat to čemu se říká "client renegotiation" pod SSL. Tato funkce umožňuje web stránce se zeptat Twitter uživatel na SSL certifikát po té co je uživatel přihlášen ke stránce. Je to užitečný nástroj pro stránky, které dovolí uživateli se přihlásit pomocí smart karty nebo stránek, které omezují přístup na vybrabnou skupinu předdefinovaných kleintů, ale dokud se chyba neopraví, client renegotiation otevírá také dvěře SSL útokům.
Dobrou zprávou je, že mnoho stránek je mohou rovnou zakázat tuto možnost, což je to co Twitter udělal. Twitter neodpovídal na otázky ohledně této záležitosti. Ačkoliv problém není nijak katastrofický, jedná se o závažnou chybu a lidé by ji měli opravit.
Odkazy z novinek:
