SSL/TLS协议保护安全性电子商务最近受打,新闻项目从违反证书管理机构到发现冲破协议本身的利用
和所有关于SSL/TLS的噪声 很容易想出某物不可挽回地受损 或该找别的东西
浏览者对SSL/TLS(Bleast)的探索和证书认证机构如Comodo和DigiNotar的故障本应认证用户,协议中如果需要适当升级则留有大量生命,Taher Elgamal、CTOAxway和SSL创建者之一表示
更多:与SSL,你能真正信任谁
问题不在于SSL/TLS本身,而在于围绕它搭建的信任框架,以及当时间修复协议修复漏洞时产生问题有个足球雷竞技app高级编辑Tim Greene最近与Elgamal讨论这些问题文录编辑
自2004年以来BESTS利用缺陷出什么问题了
问题复杂安全协议中有一个缺陷 我们应该认识到这一点,我们必须去更新并修复它事发前-实战攻击
世界上所有不同的浏览器都使用TLS,据知TLS有弱点。理解攻击的真面目很重要
BEST部署方式是浏览器上必须装件恶意软件,可注入某些东西迫使浏览器制作cookie,使这些cookie传递到通道中取中间点 允许获取加密数据即选择直截面攻击-选择直截面并阅读密文并努力匹配并查找密钥非常非常聪明无疑
从实战角度讲 真正的问题在于 机器上必须装有恶意软件诚实地说,如果我能把恶意软件安装到您的机器上, 我不会打扰您的SSL,因为我可以在它加密前看到所有数据
公有化是因为浏览器约20亿个,所有浏览器都使用SSL或多或少使用SSL,所有电子商务都使用SSL很明显,如果你有协议 没有安全问题- 并不存在
一方面有一群聪明人 做了件非常聪明的事智能使用已知脆弱点并显示用这些东西能做些什么反之,实题是Windows系统操作系统非常糟糕-你能说什么易恶意软件可重定向多事组合
实战步骤是什么转到TLS1.1
可惜没有这就是问题所在浏览器仍然不支持TLS 1.实战问题TLS 1.1二多岁不像上星期
企业用户能对问题做些什么
注意恶意软件我能说什么万一你应该小心确定你运行机状态良好, 运行a/v和i/v类东西, 防恶意识别物- 在任何情况下你都这样做。机器有恶意软件 某人读数据 而不考虑SSL
TLS1.1有负作用吗
尚不为人知,但安全的问题是,作为人,我们都想要永久安全的东西。我们希望安全并转向下一件事情,不幸的是,这是错事,因为安全总是相对物或物十年后计算机速度会快得多 所以今天安全的事情可能不安全并非因为它是坏或坏 无关 特定搭建或协议或操作系统事实事实如此 因为我们总得留意这些事我们必须监控弱点我们必须更新事物继续发生 基本永生诚实地说,这个问题没有一次性解决之道与SSL无关SSL成为招贴子,因为SSL在所有电子商务中都使用单方替换SSL协议解决不了问题
验证局违反Comodo并消灭DigiNotar
PKI和信任模型之组合if a business in the world 我可以去并获取数字证书 表示我的名字Tim Greene进程中断 从这个意义上说 我们允许企业破解 进入信任圈现实是总有骗子 人总想以错误方式赚钱将持续发生直到时间结束
是否有比验证局更好的方法
浏览器用内置根密钥设计实为不幸做错事,但很难改变我们本该把谁从商家中分离开如果不能分清信任根和商家 那么我们所能做的就是 搭建一端名声系统浏览器从未知CA获取证书时表示这是什么告诉我,如果它名声确定, 如果它确定,它罚款如果CA做坏事 名声会下降 浏览器应该拒绝连接我们希望消费者更容易访问比保护更多允许消费者信任随机事物后人信任的东西 很难置信 当前搭建浏览器人需要消除事物实为不幸,但这只关乎PKI在浏览器系统内部实施的方式,而不是特定协议原可删除SSL并插入IPSec 并产生完全相同的问题 因为他们都使用PKI
可做些什么?
万一有办法把谁从浏览器商中分辨出来,那将是最优之事信任之根应该是互联网 内建名声生态所有CAs都建有名气, 因为这是互联网运行方式, 然后你有更好的信任模式而不是建入浏览器本身, 这就是我的意思我不是说我知道如何实现它, 但它是一个更好的模型
万一发生,人们发现CA发布错误证书 名声会立即消除免得发布补丁 我们不必等待 人寄东西给我们更新将仅在生态圈内完成
如何工作
建机制自动更新我们没有这样做正确设计方式,如果我们更新协议自动更新自身,当下一版上传时,它知道在哪里找到下一版,而不必等待Windows更新或技术为世界所知我希望人们寻找这些东西 因为诚实地说 每一项协议都有自更新作用没有什么会永远安全拍的东西会永远安全,这是坏主意 因为我们找不到
递增SSL/TLS
并不只是TLS 泛型自更新不错的点子吧
你在研究吗
需要我处理吗号事物存在 但我实际上不工作
你对什么工作知道多少
生活在硅谷的美就是你每天和人聊天 人们告诉你有趣的思想我不确定我是否可以说人民用这种思想接近我