Как избежать новой уязвимости SSL?

Краткий ответ: Вы можете 1) ждать, 2) избегать подключений к важным серверам в точках общего доступа.

Прежде всего, не слишком пугайтесь. Сохраняйте спокойствие и слушайте последующие эпизоды, которые наверняка помогут решить проблему или обойти ее.

Насколько я понимаю, описанная атака делает возможным создание одного защищенного запроса TLS (или SSL), который можно сделать похожим на аутентифицированный. Человеку в середине никогда не удастся прочитать что-либо из соединения, он может вставить только один вредоносный запрос в начало безопасного потока. Злоумышленник даже не может прочитать ответ, поэтому он должен полагаться на запрос злонамеренного действия.

Но вы правы, эта ситуация требует обновления всех защищенных веб-серверов. Это не может быть предотвращено на стороне клиента, поэтому нет смысла обновлять вашу систему. Что могут сделать клиенты, так это спросить, знает ли сервер, как предотвратить это, и просто отбросить соединение, если сервер ничего об этом не знает. Но ... «вы знаете, если бы мы сказали нашим браузерам не разрешать TLS без защиты пересмотра, мы бы сегодня ни с кем не разговаривали». Таким образом, защита оказывается такой же, как простое избегание TLS.

Но прежде, чем есть исправление ... хорошо, факт остается фактом: любое TLS-соединение, открытое в общедоступной точке доступа, может незаметно предшествовать одностороннему вредоносному запросу. Конечно, вы не хотели бы, чтобы эта просьба говорила «перевести X деньги на этот Y счет». :) Но с другой стороны, подобные банковские транзакции требуют многократной загрузки страниц и связи с учетными данными, поэтому я не вижу там никакого риска.

И там есть и худшие, и более вероятные угрозы. Это просто особенно интересно, поскольку, похоже, в настоящее время нет способа избежать этого. Охранники интересуются такими вещами. Кажется, что реальность такова, что людей можно подделать намного серьезнее и проще (проще всего - человек посередине превращает все HTTPS в незащищенный HTTP, и большинство людей этого не замечают), поэтому я не понять, почему кто-то будет беспокоиться об этой атаке. Но да, чтобы быть в безопасности, я бы посоветовал не открывать соединения с важными службами в точках общего доступа.

Вот отличный ответ Брюса Шнайера, из которого я цитирую:

Разве вы не должны использовать SSL, пока он не исправлен, а платить только за интернет-покупки по телефону? Стоит ли скачивать какую-то защиту? Должны ли вы предпринять какие-то другие корректирующие действия? Какие?

Если вы регулярно читаете IT-прессу, вы будете снова и снова сталкиваться с подобными вопросами. Ответ для этой конкретной уязвимости, как и для любой другой уязвимости, о которой вы читали, тот же: ничего не делать. Это верно, ничего. Не паникуйте Не меняй свое поведение. Проигнорируйте проблему, и пусть продавцы решат это.

Причины этого объясняются в сообщении в блоге.

Не слушайте людей, которые пытаются вас напугать! Это, конечно, не стоит менять операционную систему.

Просто используйте ваш интернет как обычно с вашим обычным провайдером DNS и не волнуйтесь так сильно. Человек в середине атаки требует ... человека в середине и в стандартной сети, этого просто не происходит.

Если вы используете Wireless, убедитесь, что вы используете WPA2 и часто поворачиваете свои ключи, и если вы используете проводной, я бы не стал беспокоиться.

Не используйте общедоступные точки доступа, так как именно здесь вы, скорее всего, столкнетесь с кем-то, кто использует подобные атаки.

Убедитесь, что вы используете хорошего поставщика DNS, такого как OpenDNS .

В конце дня ваш провайдер может иметь собственный маршрут для некоторых IP-адресов и подделывать ВСЕ DNS-запросы, они могут блокировать / регистрировать / перенаправлять все, что угодно ... В жизни может случиться что угодно ... Иногда вам просто нужно ладить с жизнью и балансировать плюсы с минусами!