SSL安全機制存漏洞 Google著手改進SSL機制

【賽迪網-IT技術報道】安全人員已經發現「加密套接字協議層」(SSL)存在漏洞，黑客很容易通過Wi-Fi網絡能夠攔截那些貌似安全的網站通訊，目前，Google已經在著手改進SSL機制，而其他網站，像Facebook、雅虎郵件、Hotmail等保持沉默。Riverbed逆向工程師Mike Perry宣佈，他發現網站用於安全保護的SSL機制存在漏洞。過去，很多網站過去在登錄頁面時沒有使用SSL機制，這會讓用戶資料的cookies暴露給其他人。

Session cookies主要用於判斷用戶名和密碼是否正確，它有兩種模式，安全和非安全模式。Perry發現一些網站雖然使用了SSL加密，但這些網站不會判斷用戶cookies是否安全，這樣一來，即使用戶使用了https加密訪問，黑客還是會利用局域網中的cookies攔截用戶信息，登錄其電子郵件、銀行等服務賬戶。

SSL漏洞一直未得到有效彌補，直到一個月前，Google宣佈Gmail用戶可以自動將瀏覽器和Gmail伺服器之間的通訊默認設置為加密通訊，從而無需再通過https://mail.google.com這一加密訪問保護自己的賬戶安全。

Perry表示，他已經聯繫過Hotmail、Yahoo Mail、Facebook方面，但截止到上週五下午，這些網站都沒有對此作出回應。

微軟和雅虎方面表示，他們正在對問題進行評估，Facebook則沒有對CNET的詢問郵件進行回復。

Perry說，Amazon網站對涉及到支付的通訊進行加密，但對於購買歷史以及評價未做加密。Amazon方面稱，他們不會對加密方式進行評論。

Perry曾經宣佈會在昨天公佈相關的漏洞利用工具，這距離他在拉斯維加斯黑客大會上發佈這一安全漏洞已有兩周時間。他說，已經有另外一款漏洞利用工具出現。不過他現在表示，在和Google方面溝通後，他決定推遲公佈這種工具。

Google是唯一一家對涉及到通訊的網站頁面進行全部加密的大型網絡公司。

(