20150110 åƒå…«æ–¹ 智取威虎山幕后特辑:死地而后生
。この脆弱性により、攻撃者はパッチが適用されていないDNSサーバーに接続しているシステムの誰でもDNSを攻撃することができます。攻撃者は暗号化されたWebセッションに組み込まれた保護をバイパスできます。
Web暗号化はSSL / TLS(Secure Sockets Layer /
[さらに読む:メディアストリーミングとバックアップのためのベストNASボックス]
まず、セキュリティのための3つの方法を使用して、ブラウザが正しい相手に接続することを保証する標準です。 SSL / TLSを使用するすべてのWebサーバーには、サーバーまたはグループ証明書ごとに証明書が必要です。この証明書はサーバーを識別します。次に、証明書はサーバーのドメイン名をバインドします。第3に、特定のドメイン名の証明書を要求する当事者の身元は、証明機関によって検証されます。そのような権限を運営する会社は、証明書を要求している人物と会社の身元を確認し、証明書を暗号で結び付けた証明書を作成します。 (より高いレベルの検証が利用できるようになりました。なぜなら、Internet ExplorerとFirefoxの最新バージョンの場所に大きな緑色の領域があり、拡張検証が実行されたことを示しています)。証明書を識別し、ブラウザとオペレーティングシステムにあらかじめインストールされている証明書のセット。 Webサーバーに接続すると、ブラウザはセッションを開始する前にパブリック証明書を取得し、IPアドレスとドメイン名が一致していることを確認し、証明書の整合性を検証し、その有効性を確認します。テストが失敗した場合は、ブラウザによって警告されます。 DNSの欠陥により、攻撃者は銀行や電子商取引のセッションをさまざまな企業が運営するセキュアサイトの模倣版にリダイレクトすることができ、偽の証明書のドメイン名がIPと一致するため、ブラウザはIPアドレスの違いに気付かない
ただし、ブラウザは信頼できる認証局署名が添付されていないことに気付きます。 (これまでのところ、これらの当局の社会工学がDNS脆弱性と結びついているという報告はありません)。あなたのブラウザは、証明書が自己署名されている、つまり、攻撃者がショートカットを使用して権限の署名を残した攻撃者が作成した、信頼されていない権限を使用していました。 (オープンソースのツールを使用して権限を作成するのは簡単ですが、これは企業や組織内で役に立ちますが、私はそれを自分でやっていますが、これらのマシンに手動で証明書を別途インストールしない限り)
私の警告は、ブラウザから何らかの証明書やSSL / TLS警告を受け取った場合は、接続を停止し、ISPまたはIT部門に電話し、個人情報や企業情報を入力しないことです。 >