详细信息在这里: http ://hackaday.com/2009/07/29/black-hat-2009-break-ssl-with-null-characters/
请每个帖子推荐一个。
AskOverflow.Dev
详细信息在这里: http ://hackaday.com/2009/07/29/black-hat-2009-break-ssl-with-null-characters/
请每个帖子推荐一个。
使用 FireFox 3.5 这显然是1不易受攻击。
(最后,在检查证书的主机名匹配时,所有 SSL 客户端都需要更新以忽略 null 字符。)
1根据这篇关于登记册的文章(最后一段)。
这不是一个真正的解决方案,更多的是一个讨论的开始。
可以通过减少对 SSL 的依赖来缓解这种情况。我的意思是我们不应该只依赖 SSL 并假设所有 SSL 连接都是安全的。黑客本质上允许用户检测到 MITM 攻击。
也许,解决它的方法是避免通过连接传输任何敏感信息。
例如。
不是通过 SSL 传输登录密码,而是在客户端对密码进行哈希处理,并使用挑战发出的某种盐,然后通过 SSL 传输。此外,使用某些银行使用的某种 OTP 生成器也是一个好主意。