Gepubliceerd: Vrijdag 6 november 2009
Beveiligingsprotocol ssl blijkt een fundamenteel gat te hebben. Een groep ict-leveranciers is al sinds september in de weer met het lek.
Toon volledig artikel
In the nutshell:
The problem: when Microsoft IIS is configured to request a client
certificate after having received the request, then it WILL perform
an unauthenticated request! Sending the reply back only to the
authenticated client is a poor excuse for acting on an unauthenticated
request.
bron
Heb jij het stuk gelezen of ben je gewoon zo rabiaat anti_ms dat je alle andere nieuws gewoon mist?
Ja zowel IIS als Apache hebben hier problemen mee!
Het probleem is inderdaad niet IIS specifiek. De kern van de quote is het principe van de attack.
Begin niet meteen te stijgeren als je een stukje leest waar de woorden IIS en problemen bij elkaar staan.
Dus het lek is uitgelekt...
Toch klinkt dit lek als moeilijk uit te voeren; Je moet weten wanneer iemand wat op welke server doet en daar dan tussen gaan zitten om het juiste pakketje op het juiste moment ertussen te drukken. Maar de originele verbinding blijft beveiligt en is dus niet te bekijken door de hacker.
Als je een van de Internet routers tussen client en server controleert is het niet zo moeilijk om wat pakketjes op het juiste moment in te voegen. Iedere computer (en een router is een computer) op het netwerkpad tussen client en server kan pakketten blokkeren, omleiden, aanpassen, invoegen, kopiëren, enz. Technisch gezien kan het en ik ga er van uit dat het gebeurt. (Phorm, NSA, Chinese firewall.)
Om te kunnen reageren, dient u ingelogd te zijn.
2 jaar geleden: 13 februari 2010
3 jaar geleden: 13 februari 2009
4 jaar geleden: 13 februari 2008
5 jaar geleden: 13 februari 2007
14 jaar geleden: 13 februari 1998
IDG Nederland is uitgever van: AppFish
, CIO, Computer!Totaal, Computerworld, ITworld, Jobworld, MacWorld, RAW fotomagazine, TechFish, Tips & Trucs, Webwereld en Zoom.nlMeer informatie: IDG Nederland, IDG.com, Privacy-statement, Cookie-statement Hosting by Terremark.
