欢迎光临GGAMen游戏资讯




SSL 3.0 协议安全又出问题,Google 打算彻底抛弃它

2024-12-26 207

最近这段时间普通使用者在网络上的隐私显得特别不安全。iCloud 的明星“艳照门”、Snapchat 用户的照片泄露事件还没平息,今天 Google 又发现 3.0 版本的 SSL 安全协议中存在的巨大问题,更让人不安的是现在几乎所有的浏览器中都支援这个存在问题的协议。

根据 Google 安全部落格上的消息,这次新发现的 SSL 设计缺陷,让攻击者可以通过特定的手法获取客户端和服务器之间的加密数据,需要加密传输的很多是涉及到用户隐私,例如账号、密码之类的敏感讯息。具体来说,已经有差不多 15 年历史之久的 SSL 3.0 协议已经足够老了,它的继任者 TLS(传输层安全协议)虽然可以实现和 SSL 类似的功能,但出于使用者体验方面的考虑,很多服务会选择向下相容 SSL,而这恰恰就给攻击者留下了可乘之机。

现在,即使一个客户端和服务器都支援 TLS,但为了解决 HTTPS 服务器端互操作性的 bug,很多客户端还是会通过协议降级的方式使用 SSL 3.0。这样以来攻击者就可以用触发失败连接的方式启动 SSL 3.0 协议,接着自然也就可以利用 SSL 3.0 中的漏洞了。

Google 的三位员工在发现这其中的问题后建议大家在客户端和服务器上禁用 SSL 3.0 安全协议,这样一来双方之间的通信将被迫通过 TSL 进行,攻击者自然就没法利用 SSL 3.0 协议中的设计缺陷了。

当然,把安全问题完全交给终端用户明显是不太合适的,所以 Google 已经开始在 Chrome 中测试禁止回溯到 SSL 3.0 的功能,这也就意味着一些网站可能也要做出一些对应的更新。在接下来几个月,Google 希望能把 SSL 3.0 从旗下的客户端产品中彻底移除。

对于 Firefox 用户,你可以直接通过 SSL Version Control 禁掉 SSL 3.0。在计划于 11 月 25 发布的 Firefox 34 中,Mozilla 也将彻底禁掉 SSL 3.0,而 Firefox Nightly 则在今晚就可以得到相关的代码。

  • This POODLE bites: exploiting the SSL 3.0 fallback

(本文由 PingWest 授权转载)

2019-04-03 02:31:00

标签:   游戏头条 资讯头条 ggamen科技资讯 ggamen科技 ggamen科技资讯头条 科技资讯头条 ggamen游戏财经 新闻网 科技新闻网 科技新闻 ggamen ggamen游戏新闻网 科技新闻 科技新闻网 新闻网 ggamen游戏财经 科技资讯头条 ggamen科技资讯头条 ggamen科技 ggamen科技资讯 ggamen ggamen游戏新闻网 科技新闻 新闻网 ggamen游戏财经 科技资讯头条 ggamen科技资讯头条 ggamen科技 ggamen科技资讯 资讯头条
0