Linux E X P R E S

Facebook

Oportunistické šifrování ve Firefoxu dlouho nevydrželo

Firefox

„Oportunistické šifrování“ se v novém Firefoxu 37 dlouho neohřálo. Kvůli závažné bezpečnostní chybě muselo být deaktivováno.


Jednou z důležitých novinek nedávno vydané verze 37 webového prohlížeče Mozilla Firefox bylo i tzv. oportunistické šifrování. Fungovalo tak, že pokud server podporoval protokol HTTP/2 nebo SPDY a současně posílal hlavičku Alt-Svc, prohlížeč přepnul z nešifrovaného protokolu HTTP na šifrovaný HTTPS. Nekontroloval však certifikát, jak by jinak bylo u HTTPS běžné – v tomto případě by to ale nevadilo, protože bez této funkce by se stejně komunikovalo nijak nezabezpečeným protokolem HTTP.

Oportunistické šifrování však muselo být vypnuto (v opravné verzi 37.0.1), protože v něm byla nalezena závažná bezpečnostní chyba, a do vyřešení záležitosti zůstane deaktivováno. Chyba umožňuje přesměrovat uživatele na web komunikující pomocí HTTPS, aniž by se však kontroloval certifikát. Proto když má někdo možnost zasáhnout do komunikace (man-in-the-middle útok), může podvrhnout svůj certifikát, aniž by to dal prohlížeč uživateli najevo.

Diskuze (0) Nahoru