【賽迪網-IT技術報道】安全人員已經發現「加密套接字協議層」(SSL)存在漏洞,黑客很容易通過Wi-Fi網絡能夠攔截那些貌似安全的網站通訊,目前,Google已經在著手改進SSL機制,而其他網站,像Facebook、雅虎郵件、Hotmail等保持沉默。Riverbed逆向工程師Mike Perry宣佈,他發現網站用於安全保護的SSL機制存在漏洞。過去,很多網站過去在登錄頁面時沒有使用SSL機制,這會讓用戶資料的cookies暴露給其他人。
Session cookies主要用於判斷用戶名和密碼是否正確,它有兩種模式,安全和非安全模式。Perry發現一些網站雖然使用了SSL加密,但這些網站不會判斷用戶cookies是否安全,這樣一來,即使用戶使用了https加密訪問,黑客還是會利用局域網中的cookies攔截用戶信息,登錄其電子郵件、銀行等服務賬戶。
SSL漏洞一直未得到有效彌補,直到一個月前,Google宣佈Gmail用戶可以自動將瀏覽器和Gmail伺服器之間的通訊默認設置為加密通訊,從而無需再通過https://mail.google.com這一加密訪問保護自己的賬戶安全。
Perry表示,他已經聯繫過Hotmail、Yahoo Mail、Facebook方面,但截止到上週五下午,這些網站都沒有對此作出回應。
微軟和雅虎方面表示,他們正在對問題進行評估,Facebook則沒有對CNET的詢問郵件進行回復。
Perry說,Amazon網站對涉及到支付的通訊進行加密,但對於購買歷史以及評價未做加密。Amazon方面稱,他們不會對加密方式進行評論。
Perry曾經宣佈會在昨天公佈相關的漏洞利用工具,這距離他在拉斯維加斯黑客大會上發佈這一安全漏洞已有兩周時間。他說,已經有另外一款漏洞利用工具出現。不過他現在表示,在和Google方面溝通後,他決定推遲公佈這種工具。
Google是唯一一家對涉及到通訊的網站頁面進行全部加密的大型網絡公司。
(