image

Driekwart Top 100 websites kwetsbaar voor SSL-lek

donderdag 26 november 2009, 09:58 door Redactie, 2 reacties

Slechts 24 van de 100 meest bezochte HTTPS websites op het internet zijn beschermd tegen het lek in het SSL-protocol dat begin november werd onthuld. De kwetsbaarheid laat aanvallers via een man-in-the-middle aanval data aan beveiligde verbindingen toevoegen. Een onderzoeker demonstreerde onlangs hoe hij via het lek Twitter wachtwoorden kon stelen. Onder de Top 100 HTTPS websites bevinden zich verschillende banken en e-commerce bedrijven. Google is ook in de Top 100 vertegenwoordigd, maar heeft het probleem wel boven water. Van de 24 beveiligde websites zijn er 7 van Google. Zeven andere sites draaien Microsoft IIS 6.0, dat niet kwetsbaar zou zijn.

PhoneFactor, dat het lek ontdekte, houdt inmiddels een lijst bij van vendors die het probleem hebben opgelost. In sommige gevallen heeft men renegotiation helemaal uitgeschakeld, terwijl anderen de oplossing van Eric Rescorla hebben toegepast, zo meldt Netcraft. De Luxemburgse beveiligingsonderzoeker Thierry Zoller maakte deze beschrijving die het lek in detail uitlegt.

Reacties (2)
26-11-2009, 12:02 door Anoniem
Zeven andere sites draaien Microsoft IIS 6.0, dat niet kwetsbaar zou zijn.
... voor DAT lek
26-11-2009, 13:09 door eMilt
@Anoniem: IIS6 en IIS7 hebben een zeer goed trackrecord (= weinig lekken), vele malen beter dan bijvoorbeeld Apache.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.