Posts

Showing posts from November, 2009

Lỗ hổng nghiêm trọng của TLS/SSL

Image
Cập nhật: bạn nào quan tâm đến lỗ hổng này có thể tham gia thảo luận ở đây.

Một phát hiện hết sức thú vị:
The SSL 3.0+ and TLS 1.0+ protocols are vulnerable to a set of related attacks which allow a man-in-cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365-middle (MITM) operating at or below cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 TCP layer to inject a chosen plaintext prefix into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 encrypted data stream, often without detection by eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r end of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 connection. This is possible because an “aucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ntication gap” exists during cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 renegotiation process at which cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MitM may splice togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r disparate TLS connections in a completely standards-compliant way. This represents a serious security defect for many or all protocols which run on top of TLS, including HTTPS.
Thú vị ở chỗ bao nhiêu người, bao nhiêu chuyên gia, bao nhiêu năm qua dòm vô TLS/SSL mà không thấy được lỗ hổng có vẻ như rất hiển nhiên mà các tác giả ở trên phát hiện.

Có lẽ nguyên nhân nhiều người dòm nhưng không thấy là vì họ chỉ dòm TLS/SSL khi nó đứng một mình, mà không nhìn vào bức tranh lớn OSI, trong đó…