image

Google werkt aan oplossing voor SSL-aanval

maandag 26 september 2011, 15:04 door Redactie, 4 reacties

Gebruikers van Google Chrome zijn binnenkort niet meer kwetsbaar voor de SSL-aanval die vorige week werd gedemonstreerd. Dat zegt Google Chrome engineer Adam Langley. Via de aanval kunnen aanvallers HTTPS cookies stelen en ontsleutelen en zo de sessie van het slachtoffer overnemen. Het probleem dat Thai Duong en Juliano Rizzo demonstreerden is al geruime tijd bekend en verholpen in TSL 1.1. Daarnaast zijn er oplossingen voor SSL 3.0 en TLS 1.0 beschikbaar. Die oplossingen blijken door "buggy implementaties" van SSL/TLS niet altijd goed te werken

Google heeft daarom een anderee oplossing aan de 'dev' en beta-kanalen toegevoegd, maar die nog niet onder gebruikers van de stabiele versie verspreid. "Aangezien we nog niet weten of deze fix andere problemen veroorzaakt. Het is niet iets dat we zomaar zonder te testen op het publiek kunnen loslaten", merkt Langley op.

Java
Hij benadrukt dat de aanval niet zo eenvoudig is uit te voeren. Een aanvaller moet over een man-in-the-middle met voldoende bandbreedte beschikken. Dit zou kunnen op een draadloos netwerk. Toch is het volgens de engineer een veel minder ernstig probleem dan het slachtoffer alleen een website te laten bezoeken en via een drive-by download aan te vallen.

Daarnaast hoeft een aanvaller met een man-in-the-middle niet deze complexe aanval uit te voeren om informatie te stelen. Er zijn veel eenvoudigere mogelijkheden die minder moeite kosten. Langley krijgt bijval van Eric Rescorla. "Geen paniek. Ja de aanval is interessant, en SSL/TLS is niet volledig gebroken. Met name je communicatie met je bank is zeer waarschijnlijk in orde."

Rescorla beschrijft hoe de aanval mogelijk werkt, hoewel nog niet alle details bekend zijn. Toch adviseert hij internetgebruikers om op het moment Java uit te schakelen, iets wat in Chrome standaard gebeurt.

Reacties (4)
26-09-2011, 15:08 door Anoniem
Hmm en hoe schakel je Java uit en daarna evt. weer (even) in?
26-09-2011, 15:49 door Anoniem
in firefox: NoScipt addon
26-09-2011, 16:46 door [Account Verwijderd]
[Verwijderd]
26-09-2011, 17:28 door Anoniem
Door Peter V: Al jaren bestaat TLS 1.1 en hoger, maar alleen Internet Explorer en Opera konden ze aan. Niet alleen de client (computer) moet deze versie in de browser hebben, ook op serverniveau (bijvoorbeeld je bank of betaalsite) moet een hogere versie van TLS aankunnen.

Het probleem is dat zo goed als niemand het vanwege compatibiliteitsproblemen aan had staan.

Niet bij clients en vaak ook niet op servers. IIS stond het bijvoorbeeld standaard uit. IE en Opera staat het standaard uit.

Chrome en Firefox gebruiken de zelfde library, de eerste library, die van Netscape toen der tijd. Chrome gebruik die oa. omdat omdat Windows XP bijvoorbeeld ook geen ondersteuning heeft voor SNI.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.