研究者最近发现了一个存在于TLS 1.0(几乎应由于所有HTTPS加密网站的协议)的重大弱点。利用这个漏洞,黑客将可以悄无声息的解密客户端和服务器端之间通过HTTPS传输的数据。
此攻击仅针对TLS 1.0 ,目前使用最广泛的安全加密协议。只要第三方能控制终端与服务器之间的链接即可利用此漏洞破解几乎所有网站的SSL加密。诸如PayPal,GMail等大型网站也不例外。甚至HSTS(强制安全协议),一种让用户直接访问安全服务器(而不是经过不安全的链接跳转)的协议,都不能阻止这种漏洞。
此安全隐患波及范围之广泛和危害程度之大让人震惊。在本周即将在布宜诺斯艾利斯举行的黑客技术研讨会上,Thai Duong和 Juliano Rizzo将展示一个利用此漏洞的方式。称作BEAST的一个JS脚本,配合一个网络连接嗅探器即可在30分钟内解密一个PayPal的用户 Cookie。两人称目前还在继续优化脚本,争取将破解时间降低到10分钟。
Google针对BEAST为Chrome紧急发布了一个补丁,但此漏洞依然强力危害着众多的浏览器和个人。
“如果此技术果真能在10分钟解密HTTPS安全连接,那么我们确实面临了一个重大的危险”
若是GFW掌握了此技术,恐怕安全的HTTPS也不是许多站点的藏身之所了。