ドイツのハッカーグループThe Hacker's Choiceが月曜、同ツールをリリースしたが、これは一つには、社会保障番号や他の機密データがサーバとエンドユーザーのコンピュータを行き来する際、モニターされないよう、Webサイトが使用するSSLに、長期にわたって存在する一連の欠陥と、彼らが指摘するものに、注意を向けるためだ。
「我々はSSLの怪しげなセキュリティが、注目されずに終わることがないよう望んでいる」と、同グループの匿名メンバーがブログに書いている。「業界は市民が安全と機密性を取り戻せるよう、この問題の修正を開始すべきだ。SSLはプライベートデータを保護するのに、複雑で意味のない、そして21世紀には適さぬ古くさいメソッドを使用している。」
このTHC-SSL-DOSは、普通にインターネット接続している単一のコンピュータで、膨大な帯域を持つ、はるかにパワフルなサーバをクラッシュさせることができるが、それはサーバがSSL再ネゴシエーションとして知られる手順をサポートしている場合のみだと、月曜の投稿にある。再ネゴシエーションは、、暗号化されたセッションが既に開始された後で、通信を保護する新たな秘密鍵を確立するために使用される。攻撃者が2つのエンドポイント間を通過する暗号化されたトラフィックに対して、テキストをインジェクトできるという、2009年に発見されたSSLプロトコルの欠陥の中心となっているのが再ネゴシエーションだ…
※本記事は有料版に全文を掲載します
© The Register.
(翻訳:中野恵美子)
略歴:翻訳者・ライター
![Log4Shell のような経験はもう二度としない ~ SSVC が搭載された FutureVuls を活用し、現実的な脆弱性管理を実現 [株式会社マイナビ]](/imgs/p/VBQCg88_AM0-DSZSF4-0dQsJwAfOBQQDAgEA/43935.jpg)
