Bir güvenlik önlemi daha yerle bir oldu

spybot

Guru
Onursal Üye
Banka ve online alışveriş sitelerinin çok güvendiği bir kale daha yerle bir oldu: SSL'i de kırdılar.

İnternet üzerinde hemen hemen tüm güvenlikten SSL sorumlu.

Secure Socket Layer, yani SSL, web sitelerini özel şifreleme yöntemleri ile koruyan bir teknoloji. Gönderilen ve alınan tüm veriyi gelişmiş yöntemlerle şifreleyen SSL, bu sayede transfer edilen verilere başkaları ulaşabilse bile, şifreyi kırmadan kullanamamalarını garanti ediyor. Fakat tek amacı SSL'in güvenli olmadığını ispatlamak olan ve kendini Moxie Marlinspike adıyla tanıtan bir araştırmacı, bir konferansta SSL ile korunan sitelere bir hacker gibi saldırarak, bu sitelerde güvenli bir şekilde saklandığı sanılan bilgilere çok kolay bir şekilde erişmeyi başardı.

SSL ile korunan sitelerin adres satırının başında yer alan http protokol tanımı, HTTPS'e dönüyor. Fakat çoğu kez, pek çok kullanıcı HTTPS protokolünü doğrudan kullanmadan, standart http üzerinden istediği siteye bağlanıyor ve bir link üzerinden SSL güvenliği bulunan HTTPS bölümüne geçiyor. Kimliğini açıklamayan araştırmacı SSL'e hiç dokunmadan bu geçişe ufak bir müdahalede bulunup, kendi zararlı yazılımını bu araya yerleştiriyor ve kimsenin ruhu bile duymadan tüm verilere ulaşmayı başarıyor.

Araştırmacı bunu engellemek için tek yöntemin kullanıcıların HTTPS protokolüne geçiş yaptıkları HTTP sayfasında çok dikkatli olmaları gerektiğini söylüyor.

http://www.chip.com.tr/konu/Bir-guvenlik-onlemi-daha-yerle-bir-oldu_11100.html
 

pesimist

Rektör
Onursal Üye
konferansta SSL ile korunan sitelere bir hacker gibi saldırarak, bu sitelerde güvenli bir şekilde saklandığı sanılan bilgilere çok kolay bir şekilde erişmeyi başardı.

Bu cümleyi de her yerde duyarım ama bir kere olsun o konferanstan bi video verildiğini görmedim.
 

deathline

Üyecik
Kimliğini açıklamayan araştırmacı SSL'e hiç dokunmadan bu geçişe ufak bir müdahalede bulunup, kendi zararlı yazılımını bu araya yerleştiriyor ve kimsenin ruhu bile duymadan tüm verilere ulaşmayı başarıyor.

Bunu şuna benzetelim adamın biri bankanın üye giriş sayfasını ele geçirmiş siz napabilirsinizki.
SSL verileri 3. kem gözlerden korumak içindir -ki buna rağmen sizin bütün internet trafiğinizi gözlemleyen biri bağlantı başlangıcını yani sertfikayı ele geçirirse siz hiçbirşey yapmamazsınız.Türkçesi cisco nun başında var biri dökerim yedi sülalenin bilgisini :) başka bişe demiyorum.
 
Üst