Az SSL hibát fel lehetett volna használni a Twitteren

Az interneten történő kommunikáció biztosításához használt protokoll hibáját használhatta egy Twitter biztonsági felmérés szerint.

A múlt héten Anil Kurmus bemutatta, hogy az SSL (Secure Sockets Layer) protokoll hibája hogy lényegében trükkje áldozatoknak, hogy küldjenek olyan üzeneteket, amelyek tartalmazzák a jelszóadatokat. A kihasználandó hiba miatt a hackernek először meg kell találnia a módját, hogy az áldozat hálózatára lépjen, és elindítsa az úgynevezett embert a középső támadásban, így nehéz lenne hatalmas Twitter felhasználókat érinteni ezt a technikát. A kérdést hamarosan a Twitter rendezte, de biztonsági szakértők azon gondolkodnak, hogy hány weblapot szenvedhet hasonló probléma.

Az internetes cégek konzorciuma kijátszott az SSL-probléma megoldására, mivel november 5-től véletlenül történt nyilvános a beszélgetési listán. De volt némi vita a hiba súlyosságáról. Röviddel a hiba nyilvánosságra hozatala után az IBM kutatója, Tom Cross elmondta, hogy a legtöbb webes alkalmazás a legtöbb esetben nem érinti a problémát.

[További olvasmány: Hogyan távolítsuk el a rosszindulatú programokat Windows számítógépéről]

De Cross megváltoztatta a gondolatait, és így írta: "Sajnos a helyzet rosszabb, mint gondoltam."

Különösen a webmail alkalmazások veszélyeztethetik a támadást. És a biztonsági szakértők is aggódnak amiatt, hogy más alkalmazások - például adatbázisok - veszélyben vannak.

A Twitter.com érzékeny volt a hibára, mert az úgynevezett kliens újratárgyalást hajtott végre SSL alatt. Az ügyfelek újratárgyalása lehetőséget ad a weboldalnak arra, hogy felkéri a Twitter felhasználóját SSL-tanúsítványra, miután egy felhasználó már kapcsolódott a webhelyhez. Ez egy hasznos eszköz azoknak a webhelyeknek, amelyek lehetővé teszik a felhasználók számára az intelligens kártyák használatát, vagy azoknak a webhelyeknek a használatát, amelyek korlátozzák az előre meghatározott webes szörfök kiválasztott csoportjának elérését, de amíg a hiba megszűnik, az ügyfél újratárgyalása megnyitja az SSL-támadások ajtóját is. valószínűleg sok webhely, mint például a Twitter, amely lehetővé teszi az ügyfél újratárgyalását egyszerűen azért, mert beépül az SSL protokollba és annak utódjába, a TLS (Transport Layer Security), mondta Marsh Ray, a PhoneFactor egyik fejlesztője, akik felfedezték a problémát. "Sokan nem vették észre, hogy ezt csinálják" - mondta. "A jó hír az, hogy sok webhely egyszerűen letilthatja azt teljesen, ami nyilvánvalóan mi a Twitter. A Twitter nem válaszolt egy üzenetet kérve, hogy megjegyzéseket fűzzön ehhez a történethez.

Ray szerint az embereknek fel kell ismerniük, hogy míg az SSL hibája nem katasztrofális, "ez komoly hiba, és az embereknek meg kell javítaniuk."