Google發布研究報告: SSL 3.0協議存在漏洞 或被黑客攻擊利用
責編:admin |2014-10-15 16:38:29事實證明,人們依賴已久的互聯網通信協議——安全套接層(SSL)——已經曝出了一個漏洞。根據Google研究人員公布的報告,SSL 3.0協議中存在一個bug,可被黑客用于截取客戶機和服務器之間進行加密的關鍵數據。該漏洞首選允許攻擊者發起降級攻擊,即欺騙客戶端說服務器不支持更安全的安全傳輸層(TLS)協議,然后強制其轉向使用SSL 3.0。
在強制客戶端采用SSL 3.0與服務器進行通訊之后,黑客就可以利用中間人攻擊來解密HTTPs的cookies。Google將方式稱作POODLE攻擊(Padding Oracle On Downgraded Legacy Encryption)。
簡而言之,若受到攻擊,你的數據將不再加密。鑒于目前沒有更好的解決方案,Google研究人員Bodo M?ller、Thai Duong、以及Krzysztof Kotowicz只得強烈建議客戶和服務器雙方均禁用SSL 3.0。
如此一來,服務器和客戶端將默認啟用更安全的TLS協議。Google表示將在后續更新中移除旗下所有產品的SSL 3.0支持。事實上,該公司早已放出了一個禁用SSL 3.0的Chromium補丁。