Gisteren werd een nieuwe SSL-aanval onthuld, waarbij aanvallers via een Man-in-the-middle aanval vertrouwelijke informatie kunnen stelen, ook al gebruikt de aangevallen website SSL. De Firefox plugin NoScript biedt echter uitkomst. Via de SSLstrip tool die vandaag of morgen verschijnt, plaatst een aanvaller zich tussen de website en het slachtoffer. De tool fungeert als proxy en zet https pagina's naar http om, zonder beide partijen te laten merken dat er iets mis is. Met name op publieke draadloze netwerken en onion-routing systemen is dit handig.

Partijen als Mozilla, Microsoft, Google, Apple en Opera zijn al bezig om de aanval op te lossen en dan met name het probleem van internationale domeinnamen (IDN). Daardoor is het mogelijk om in de adresbalk de volgende URL weer te geven https://www.paypal.com/login/abcdef.g54321.cn, die op een legitieme PayPal inlogpagina lijkt, maar in werkelijkheid een phishingpagina is die op het Chinese domein g54321.cn wordt gehost. Het “/” karakter is geen echte slash, maar een ander unicode karakter dat lijkt op een slash en onderdeel van een IDN subdomein is.

Wil de aanval slagen, dan moet het inlogvenster over HTTP worden aangeboden, zelfs als het de rest van de informatie over HTTPS uitwisselt. Iets wat helaas nog altijd voorkomt, zoals bij Google en banksites. NoScript heeft de oplossing. Gebruikers kunnen via de volgende twee stappen zich tegen de aanval beschermen:

1. Open NoScript Options|Advanced|HTTPS|Behavior.
   
2. Ga naar het tekstgedeelte genaamd “Force the following sites to use secure (HTTPS) connections” en voeg daar de sites toe die je wilt beschermen en gebruik een spatie om ze te scheiden. Bijvoorbeeld twitter.com *.whacovia.com *.bankofamerica.com *.paypal.com etc.