9月30日系統觀察:SSL被攻破了該咋辦
原創這兩天SSL的事情大家都比較關注,今天會重點說一下。
1、TLS/SSL安全問題
最近消息說黑客已經攻破SSL加密,導致業內一片風聲鶴唳。但是什么是通過瀏覽器攻破SSL/TLS(簡稱BEAST),這種攻破是基于什么機制,很多文章解釋的讓人根本看不懂。下面是一個比較簡單的解釋:
大多數加密方式基于兩種情況:
1、攻擊者不知道加密消息用的密鑰
2、攻擊者不知道被發送的消息
BEAST攻擊的第一步就是將代碼植入到當前瀏覽器的會話當中,可能通過iframe或XSS來實現;這條代碼造成瀏覽器在SSL通道中傳輸一些已知的純文本,有很多簡單的JavaScript都可以實現這一點;另一方面,攻擊者已經通過嗅探或中間人攻擊獲取到了SSL上傳遞過的消息。那么現在有了已知原文本的一段文字,有了加密后的文字,又有了被發送的消息,就可以通過一些解密手法獲取cookie了。
文章也推薦了一些防護措施,對用戶來說要盡量在離開SSL網站之前進行登出;網站管理員則要確保登出功能的合理性,會話cookie與IP的綁定,以及SSL加密在RC4和AES之間的選擇。
被感染的瀏覽器們(Firefox、IE、Chrome、Opera、Safari)紛紛表示問題不是那么嚴重。而且由于SSL/TLS是一個業界標準,需要多方共同推進才能解決這個問題。升級到TLS 1.1不會被這個漏洞所影響,但由于大部分SSL連接都是用TLS 1.0,所以暫時還無法成為一個解決方案。(英文來源)
2、Oracle Open World預覽
Oracle總裁Mark Hurd通過電話對本次的Open World進行了概述。Oracle OpenWorld 2011將在10月2日到6日在舊金山舉辦。
Oracle策略:將覆蓋硬件,操作系統,數據庫,中間件,垂直市場領域的應用層。
云計算:將會有更多針對SaaS和云計算的聲音。
新技術:年年更多新技術。預計今年總到場人數將有5萬人。
有關廠商鎖入:Exadata不會造成鎖入。(英文來源)
3、FreeBSD 9.0 Beta 3發布
FreeBSD 9.0的第三個Beta開了新分支,現在-current和-stable上都進行統治,不過-current上會有更多的信息。
發行注記:http://lists.freebsd.org/pipermail/freebsd-stable/2011-September/064030.html
下載地址仍在各個FTP鏡像的如下路徑中:
amd64: .../releases/amd64/amd64/ISO-IMAGES/9.0/
i386: .../releases/i386/i386/ISO-IMAGES/9.0/
ia64: .../releases/ia64/ia64/ISO-IMAGES/9.0/
powerpc: .../releases/powerpc/powerpc/ISO-IMAGES/9.0/
powerpc64: .../releases/powerpc/powerpc64/ISO-IMAGES/9.0/
sparc64: .../releases/sparc64/sparc64/ISO-IMAGES/9.0/
(英文來源)
【往期系統觀察】
