Jak poinformował nas Paweł Krawczyk z ipsec.pl MS IE we wszystkich aktualnych wersjach (do 6) zawiera dziurę, która objawia się podczas weryfikowania ścieżki certyfikacji serwera SSL. Błąd polega na tym, że IE co prawda sprawdza ją krok po kroku (od certyfikatu serwera wzwyż do certyfikatu wystawcy), ale pomija jeden istotny szczegół - czy certyfikat wyższego poziomu jest uprawniony do podpisywania czegokolwiek (tzw. X509v3 Basic Constraints).
Oznacza to że dysponując certyfikatem serwera WWW wystawionym przez Thawte, VeriSign lub GeoTrust możemy podpisać nim certyfikat innego serwera, a IE uzna tę ścieżkę za poprawnę - ponieważ kończy się ona na zaufanym urzędzie certyfikującym. W normalnej sytuacji IE powinien stwierdzić, że certyfikat serwera został podpisany certyfikatem, który w ogóle nie posiada do tego uprawnień - i uniemożliwić połącznie.
Konsekwencje tego błędu są dość poważne, bo niweczą mechanizm, który jest sercem bezpieczeństwa SSL - pewność, że łączymy się z autentycznym serwerem np. banku, a nie podstępnym pośrednikiem (tzw. atak man-in-the-middle), który udając przed nami bank, równocześnie udaje nas przed bankiem i w ten sposób zapoznaje się ze szczegółami naszej transakcji. Złamanie ścieżki certyfikacji powoduje niestety, że IE jest podatny na atak m-i-t-m.
Inne przeglądarki (Netscape, Mozilla, Galeon) wyświetlają w takim przypadku błąd. Poprawka do MSIE powinna pojawić się wkrótce, tymczasem do bankowości elektronicznej radzimy wykorzystać np. Mozillę.
Źródło: securityfocus.com
Zobacz również: www.ipsec.pl
Dziura IE w obsłudze SSL
Zabezpieczenia |
Śr, 7 Sier 2002 21:34:30 +0200 |
Autor:
Redakcja
| Czytań: 2321
Top 20 news
Komentarze
Najaktywniejsi
1
Rellik 9630 pkt.
2
grzemach 850 pkt.
3
betaKondor 470 pkt.
4
Koras 350 pkt.
5
kris2005a 140 pkt.
6
Localghost 130 pkt.
7
elmocamp 100 pkt.
8
Tommy 100 pkt.
9
Scoti 80 pkt.
10
sevar 60 pkt.
W tej chwili nie ma jeszcze komentarzy. Możesz jednak dodać swój własny.
Aby dodawać komentarze musisz się zalogować.