SSL

原本認為只要部署跨站偽造請求（CSRF）保護機制的網站就可避免該TLS漏洞的IBM研究人員Tom Cross，在看過Kurmus的展示後便坦承事態比他當初想的還要嚴重。文/陳曉莉 (編譯)

上周兩名來自PhoneFactor的研究人員在揭露了SSL協定的安全漏洞，並指出該漏洞可能導致中間人攻擊。隨後另一研究人員Anil Kurmus就展示如何藉由Twitter的相關漏洞竊取該網站使用者的登入資訊。

PhoneFactor說，由於這是一個協定漏洞，而非僅為實作漏洞，因此影響深遠，所有的SSL函式庫都必須進行修補。

兩名來自PhoneFactor的研究人員在本周揭露了SSL協定的安全漏洞，指出相關的漏洞可能導致中間人攻擊，而且多數使用SSL的網站皆受到影響。

SSL的全名為Secure Sockets Layer（安全通訊端層），是網路上最普遍的資料安全協定，許多網路銀行及網站皆採用該協定來保障使用者的通訊安全。

網上犯罪和駭客活動日益猖獗，目前認為較安全的「SSL安全證書」也在駭客攻擊下出現嚴重漏洞，那些人們認為安全的網站不再安全。這種新式的可怕駭客攻擊發生在用戶電腦和網站之間。美聯社 8 月 1 日形容它「如同電話竊聽」。(鉅亨網編輯查淑妝 台北綜合報導)

新華網報導， 7 月 30日在美國拉斯韋加斯舉行的年度「黑帽」(Black Hat) 大會上，駭客技術研究人員莫克西‧馬林斯派克、丹‧卡明斯基和倫‧薩薩曼演示了網絡瀏覽器在對可疑網站進行攔截方面的弱點。

雖然 Apache 的文件上已明白說明單一IP無法建置多重 SSL 網站，不過這類需求與嘗試永遠存在。

有一陣子熱衷於尋找解法之際，曾看過 Everyday Work 的這篇解法，直接在 Certificate 中塞進多個 CN。最近則看到了國外提到用 mod_gnutls 這個 Apache Module 來實行，而且竟然又是個老早就有的專案。

 繼續閱讀 »

Netcraft 公佈本月份全球 SSL 站台達 60萬，這項調查自 1996/11 起已連續進行超過十年，而當時的數量為 3,283個，概略估算每年成長 65%，此趨勢指出了線上交易與服務的成長熱絡，和交易安全的基本觀念提昇。這份調查統計對象為合法的 SSL 憑證數，因此那種自己發給自己的 SSL 站台並沒有被列入 :)