Diegene gebruik Safari op Mac OS X is nog steeds kwesbaar "man-in-die-middel aanvalle deur gebruik te maak van die bedrieglike sekuriteit sertifikate wat hackers gegenereer uit die Nederlandse sertifikaat gesag DigiNotar. Die probleem lê in die pad Mac OS X hanteer 'n nuwe soort van sertifikaat genoem Uitgebreide validasie, of EV sertifikate. Gelukkig, egter, is daar 'n relatief maklike fix.
DigiNotar was vroeër hierdie week gekap om honderde valse sekerheid sertifikate vir talle webtuistes, insluitend Google, Yahoo, en ander op te wek. 'N Iraanse hacker verskyn het wat gebruik word om die sertifikate vir google.com te spioeneer op Iraninan Gmail gebruikers se gesprekke.
Microsoft en Google ingetrek vertroue in die sertifikate uitgereik deur DigiNotar en Mozilla uitgereik patches vir Firefox en Thunderbird nie meer vertroue sertifikate van die maatskappy. Hierdie veranderings beteken dat Chrome, Internet Explorer en Firefox-gebruikers sal nie meer veilige HTTPS-verbindings van plekke met behulp van DigiNotar uitgereik certs aanvaar.
Apple het nog 'n pleister om voorsiening te maak vir die Safari-leser of Mac OS X, sodat die gebruikers is vertel dat die sleutelhanger te gebruik om enige certs uitgereik deur DigiNotar as te merk " Never trust. " Ongelukkig, volgens te ontwikkelaar Ryan Sleevi, Mac OS X sal steeds nuwe Uitgebreide Validatie certs-gebruik om te help verhoed dat phishing-aanvalle - selfs van owerhede wat vertrou gemerk word aanvaar .
"Wanneer Apple dink jy is op soek na 'n EV Sert, gaan hulle eers dinge anders," vertel Sleevi Computer. "Hulle ignoreer sommige van jou stellings en heeltemal ignoreer hulle."
Sekuriteit kundiges, waaronder WhiteHat Security CTO Jeremia Grossman, oorweeg die fout "iewers." Sedert Apple is geneig om nie vry te laat om enige inligting oor die leser onsekerheid totdat dit stel die betrokke kolle, kan potensieel gebruikers blootgestel word aan verdere wedervaringe in die tussentyd.
Daar is nog 'n relatief eenvoudige fix vir die probleem tot Apple' n pleister op Mac OS X, egter. Die gebruik van Sleutelhanger Toegang, gebruikers kan eenvoudig verwyder DigiNotar certs van die sleutelhanger in plaas van die merk hulle "vertrou." Aangesien die owerheid reeds al die bedrieglike certs herroep word, sal hulle nie meer valideer wanneer Safari of ander Mac OS X programme ontmoeting hulle weer.
Lees die antwoorde op hierdie boodskap
No comments:
Post a Comment