Slechts 24 van de 100 meest bezochte HTTPS websites op het internet zijn beschermd tegen het lek in het SSL-protocol dat begin november werd onthuld. De kwetsbaarheid laat aanvallers via een man-in-the-middle aanval data aan beveiligde verbindingen toevoegen. Een onderzoeker demonstreerde onlangs hoe hij via het lek Twitter wachtwoorden kon stelen. Onder de Top 100 HTTPS websites bevinden zich verschillende banken en e-commerce bedrijven. Google is ook in de Top 100 vertegenwoordigd, maar heeft het probleem wel boven water. Van de 24 beveiligde websites zijn er 7 van Google. Zeven andere sites draaien Microsoft IIS 6.0, dat niet kwetsbaar zou zijn.
PhoneFactor, dat het lek ontdekte, houdt inmiddels een lijst bij van vendors die het probleem hebben opgelost. In sommige gevallen heeft men renegotiation helemaal uitgeschakeld, terwijl anderen de oplossing van Eric Rescorla hebben toegepast, zo meldt Netcraft. De Luxemburgse beveiligingsonderzoeker Thierry Zoller maakte deze beschrijving die het lek in detail uitlegt.
Deze posting is gelocked. Reageren is niet meer mogelijk.