如何防御 BlackHat 2009 空字符 SSL 漏洞？

Question 1

使用 FireFox 3.5，显然^它不易受到攻击。

（最后，所有 SSL 客户端都需要更新，以便在检查证书的主机名是否匹配时忽略空字符。）

¹根据这篇文章登记册（最后一段）。

Answer

使用 FireFox 3.5，显然^它不易受到攻击。

（最后，所有 SSL 客户端都需要更新，以便在检查证书的主机名是否匹配时忽略空字符。）

¹根据这篇文章登记册（最后一段）。

Question 2

这实际上不是一个解决方案，而更像是一次讨论的开始。

可以通过减少对 SSL 的依赖来缓解这种情况。我的意思是，我们不应该只依赖 SSL，并假设所有 SSL 连接都是安全的。这种黑客行为本质上是让 MITM 攻击无法被用户检测到。

也许，解决这个问题的方法是避免通过连接传输任何敏感信息。

例如。

不要通过 SSL 传输登录密码，而是在客户端对密码进行哈希处理，并使用质询发出的某种盐，然后通过 SSL 传输。此外，使用某些银行使用的某种 OTP 生成器也是一个好主意。

Answer

这实际上不是一个解决方案，而更像是一次讨论的开始。

可以通过减少对 SSL 的依赖来缓解这种情况。我的意思是，我们不应该只依赖 SSL，并假设所有 SSL 连接都是安全的。这种黑客行为本质上是让 MITM 攻击无法被用户检测到。

也许，解决这个问题的方法是避免通过连接传输任何敏感信息。

例如。

不要通过 SSL 传输登录密码，而是在客户端对密码进行哈希处理，并使用质询发出的某种盐，然后通过 SSL 传输。此外，使用某些银行使用的某种 OTP 生成器也是一个好主意。

相关内容