ValdikSS 4 мар 2015 в 15:36

FREAK — TLS Downgrade атака на Android и iOS

2 мин

12K

Блог компании Digital SecurityИнформационная безопасность*

+27

Комментарии 6

ValdikSS 4 мар 2015 в 17:50

Я тут провел мини-исследование, и выяснилось, что веб-серверы более половины веб-сайтов из топа используют динамические ключи на клиента.

Всего хостов в листе: 415
Хосты с EXPORT: 374
Хосты со случайным ключом на каждое соединение: 215
Хосты со статическими ключами на каждое соединение: 159

gist.github.com/ValdikSS/f4ba45198fe69c349e9c

ValdikSS 4 мар 2015 в 20:25

Обновленные данные:

Всего хостов в листе: 415
Хосты с EXPORT: 368
Хосты со случайным ключом на каждое соединение: 137
Хосты со статическими ключами на каждое соединение: 231

Я довольно сильно ошибся из-за ошибки в скрипте, но все равно много.

alkov 5 мар 2015 в 08:07

У меня Chrome под Android по ссылке из статьи показывает, что он уязвим. Видимо, тоже придётся ждать обновления

bondbig 5 мар 2015 в 09:43

Хром под iOS 8.1.3 на этой странице пишет, что не подвержен уязвимости. Сафари пишет, что уязвим. Странно, это правда или баг теста?

MyHabrahabr 5 мар 2015 в 19:08

это правда

Скорее всего, так как у Chrome свой TLS-стек.

С сайта:

Update (Mar. 5): Further testing confirms that far more browsers are susceptible to the FREAK attack than originally believed. The following browsers appear to be vulnerable:
•Internet Explorer
•Chrome on Mac OS and Android < — нет iOS
•Safari on Mac OS and iOS
•Blackberry Browser
•Opera on Mac OS and Linux

(Earlier versions of our browser test gave incorrect results for IE; it is vulnerable.)

ValdikSS 5 мар 2015 в 19:12

О, спасибо за апдейт!

Зарегистрируйтесь на Хабре, чтобы оставить комментарий