Gebruikers van Google Chrome zijn binnenkort niet meer kwetsbaar voor de SSL-aanval die vorige week werd gedemonstreerd. Dat zegt Google Chrome engineer Adam Langley. Via de aanval kunnen aanvallers HTTPS cookies stelen en ontsleutelen en zo de sessie van het slachtoffer overnemen. Het probleem dat Thai Duong en Juliano Rizzo demonstreerden is al geruime tijd bekend en verholpen in TSL 1.1. Daarnaast zijn er oplossingen voor SSL 3.0 en TLS 1.0 beschikbaar. Die oplossingen blijken door "buggy implementaties" van SSL/TLS niet altijd goed te werken
Google heeft daarom een anderee oplossing aan de 'dev' en beta-kanalen toegevoegd, maar die nog niet onder gebruikers van de stabiele versie verspreid. "Aangezien we nog niet weten of deze fix andere problemen veroorzaakt. Het is niet iets dat we zomaar zonder te testen op het publiek kunnen loslaten", merkt Langley op.
Java
Hij benadrukt dat de aanval niet zo eenvoudig is uit te voeren. Een aanvaller moet over een man-in-the-middle met voldoende bandbreedte beschikken. Dit zou kunnen op een draadloos netwerk. Toch is het volgens de engineer een veel minder ernstig probleem dan het slachtoffer alleen een website te laten bezoeken en via een drive-by download aan te vallen.
Daarnaast hoeft een aanvaller met een man-in-the-middle niet deze complexe aanval uit te voeren om informatie te stelen. Er zijn veel eenvoudigere mogelijkheden die minder moeite kosten. Langley krijgt bijval van Eric Rescorla. "Geen paniek. Ja de aanval is interessant, en SSL/TLS is niet volledig gebroken. Met name je communicatie met je bank is zeer waarschijnlijk in orde."
Rescorla beschrijft hoe de aanval mogelijk werkt, hoewel nog niet alle details bekend zijn. Toch adviseert hij internetgebruikers om op het moment Java uit te schakelen, iets wat in Chrome standaard gebeurt.
Deze posting is gelocked. Reageren is niet meer mogelijk.