Исследователь, называющий себя Moxie Marlinspike, продемонстрировал на очередной BlackHat-конференции утилиту SSLstrip, которая реализует технику перехвата SSL-соединений, основанную на том факте, что, как правило, перед началом взаимодействия по https и установкой SSL-соединения пользователи заходят на некоторую обычную веб-страницу с помощью незащищенного http-соединения, где и нажимают заветную кнопку Login.

Прелесть этой атаки в том, что собственно SSL-соединение никто и не атакует. SSLstrip работает как обычный прокси, отслеживающий http-трафик. Хотя пользователь искренне считает, что взаимодействует с сайтом по https, на самом деле он общается с SSLstrip по простому http, ну а та в свою очередь честно идет на сайт по https от имени пользователя. Путем подмены favicon даже получается имитировать значок защищенного соединения, ну а http там в строке адреса или https - на такую мелочь не каждый обратит внимание.

По словам автора атаки, с помощью SSLstrip за сутки ему удалось собрать 117 паролей к почтовым аккаунтам, семь логинов PayPal и 16 номеров кредитных карт.

(c)http://bugtraq.ru/rsn/archive/2009/02/09.html

Отличный суточный улов

ИМХО,это не проблема SSL, а проблема Дата-Центра. 99,99% атака основана ни снифере пакетов. А если возможно снифить, то такая атака это так, пустячек...

http://ru.wikipedia.org/wiki/Sniffer

Ну в самой заметке же сказано:
SSLstrip, которая реализует технику перехвата SSL-соединений

Чистый перехват трафика.

Просто пользователь пребывает в иллюзии нахождения на защищенном ресурсе и выдает нагора свои данные. Если на конференции это доклад и Багтрек уделил внимание)) Сама технология перехвата не элементарна.

Внимательнее теперь буду смотреть в строку. Вирус тоже может использовать данную технологию ведь.

Ну в самой заметке же сказано:


Чистый перехват трафика.

...


Это как по Вашему?

ммм?

Или я не понял вопроса, или у Вас цитата в моем сообщении не отображается :)

ИМХО,это не проблема SSL, а проблема Дата-Центра. 99,99% атака основана ни снифере пакетов. А если возможно снифить, то такая атака это так, пустячек...

Как раз таки это проблема самого SSL, так перехват пакетов может проходить где угодно и в любом случаи происходит (хотя бы тем же провайдером).

SSL (http://ru.wikipedia.org/wiki/SSL)(англ. Secure Sockets Layer — уровень защищённых сокетов) — криптографический протокол, обеспечивающий безопасную передачу данных по сети Интернет. При его использовании создаётся защищённое соединение между клиентом и сервером.

ИМХО?:)

SSL работает поверх физического соединения. Для того, что бы подменить пакеты и организовать такую атаку нужно это физического соединения перехватить.
Техника перехвата, с вероятностью 99%, снифинг.

Не буду спорить, потому что не знаю технически.
Но если ты прав, тогда смысла этого ССЛ нету. Он не решает никаких проблем. Как и глупо то, что это вылезло только сейчас, когда еще 5-7 лет назад школьники пароли на инет друг друга снифили. Перехватить трафик - плевое дело. Подменить пакеты - это вообще маст хев для хака. В чем изюминка тогда?)

Не буду спорить, потому что не знаю технически.
Но если ты прав, тогда смысла этого ССЛ нету. Он не решает никаких проблем. Как и глупо то, что это вылезло только сейчас, когда еще 5-7 лет назад школьники пароли на инет друг друга снифили. Перехватить трафик - плевое дело. Подменить пакеты - это вообще маст хев для хака. В чем изюминка тогда?)

Изюминка в том, что перехватив пакеты нужно декриптовать ключ, причем очень быстро... или можно организовать интерпретацию на прокси, т.е. эмулировать браузер и получателя, пароля, это проще, но все же не легко.

Оригинально.
А какие могут быть варианты решения?

Оригинально.
А какие могут быть варианты решения?

Ни видимо, защита от снифа...
Тут, мои познания заканчиваются. :(

Ну насколько я знаю - от снифита невозможно защититься.
Есть даже варианты удаленного снифита вроде (на расстоянии).

Ну насколько я знаю - от снифита невозможно защититься.
Есть даже варианты удаленного снифита вроде (на расстоянии).

Давеча меня просветили, что свичи от снифа не спасают... :(

:) тогда просто проверяем)) есть ли S после http, и на всякий случай фавиконку...

У мну это Касперский делает.

везде ли есть Касперский умный)