安全研究员Marsh Ray与Steve Dispensa指出 ,TLS 1.0+ 与SSL 3.0+协议中存在安全漏洞 ,可被用于实施中间人攻击(man-in-the-middle,MITM)。 TLS的问题主要出在“认证空档”(authentication gap)上,在加密认证流程中,由于服务器与客户端之间的认证会出现不持续的状况,使得攻击者可趁机绑架数据串。这个漏洞也让攻击者得以以中间人攻击的手法来入侵Https服务器。资深安全研究员Chris Paget表示 , 这是通讯协议层次的漏洞,必须修改SSL与TLS运作的模式才能修正问题。Ray与Dispensa已经将问题提报给行业组织ICASI,该组织由思科、 IBM、英特尔、Juniper、微软与诺基亚组成。他们也将此事通知IETF组织,以及部分开源SSL项目。9月29日,多个组织已经开会决定成立一个 负责处理修复方案的项目Project Mogul。
From: http://it.solidot.org/it/09/11/09/0059246.shtml
哎,又有的搞了