WhiteHat News #ID:0911
VIP Members
-
30/07/2014
-
79
-
711 bài viết
Phiên bản mới của Firefox được bổ sung tính năng PKP
Mozilla vừa phát hành phiên bản mới của trình duyệt Firefox, hỗ trợ tính năng public-key pinning (PKP).
Giao dịch với một dịch vụ trực tuyến được đảm bảo an toàn bằng cách mã hóa truy cập, dựa trên một chứng chỉ số được phát hành bởi nhà cung cấp chứng thực số - Certificate Authority (CA), xác minh danh tính của dịch vụ.
Trước đây, tội phạm mạng có thể tạo được chứng chỉ giả mạo bằng cách lừa một CA phát hành chứng chỉ SSL hợp lệ cho một tên miền hoặc xâm nhập vào hệ thống của CA đó và tự phát hành chứng chỉ SSL.
Một trang web độc hại được xác nhận bởi chứng chỉ giả mạo có thể khiến người dùng tin rằng họ đang kết nối với một máy chủ đáng tin cậy, từ đó tạo điều kiện cho kẻ xấu nghe lén thông tin trao đổi của người dùng.
Tội phạm mạng còn sử dụng hình thức tấn công man-in-the-middle (MiTM) để lừa người dùng. Về cơ bản, tất cả các trao đổi được thực hiện thông qua cơ sở hạ tầng của kẻ tấn công.
Bắt đầu từ phiên bản 32, Firefox được bổ sung công nghệ PKP giúp loại bỏ được những rủi ro kể trên. Theo đó, chứng chỉ số của trang web phải phù hợp với chứng chỉ số của trình duyệt web, cả 2 chứng chỉ này đều do cùng một CA cấp.
"Nếu một trong chuỗi các chứng chỉ được xác thực tương ứng với một trong những chứng chỉ (đính kèm) chuẩn, Firefox sẽ hiển thị biểu tượng khóa như bình thường", Sid Stamm, Quản lý cấp cao về Kỹ thuật bảo mật và an ninh của Mozilla cho biết.
"Khi các chứng thư gốc của trang web không phù hợp với một trong các nhà cung cấp chứng thực số có uy tín, Firefox sẽ từ chối kết nối kèm theo thông báo lỗi (pinning error)," Sid Stamm cho biết thêm.
Giao dịch với một dịch vụ trực tuyến được đảm bảo an toàn bằng cách mã hóa truy cập, dựa trên một chứng chỉ số được phát hành bởi nhà cung cấp chứng thực số - Certificate Authority (CA), xác minh danh tính của dịch vụ.
Trước đây, tội phạm mạng có thể tạo được chứng chỉ giả mạo bằng cách lừa một CA phát hành chứng chỉ SSL hợp lệ cho một tên miền hoặc xâm nhập vào hệ thống của CA đó và tự phát hành chứng chỉ SSL.
Một trang web độc hại được xác nhận bởi chứng chỉ giả mạo có thể khiến người dùng tin rằng họ đang kết nối với một máy chủ đáng tin cậy, từ đó tạo điều kiện cho kẻ xấu nghe lén thông tin trao đổi của người dùng.
Tội phạm mạng còn sử dụng hình thức tấn công man-in-the-middle (MiTM) để lừa người dùng. Về cơ bản, tất cả các trao đổi được thực hiện thông qua cơ sở hạ tầng của kẻ tấn công.
Bắt đầu từ phiên bản 32, Firefox được bổ sung công nghệ PKP giúp loại bỏ được những rủi ro kể trên. Theo đó, chứng chỉ số của trang web phải phù hợp với chứng chỉ số của trình duyệt web, cả 2 chứng chỉ này đều do cùng một CA cấp.
"Nếu một trong chuỗi các chứng chỉ được xác thực tương ứng với một trong những chứng chỉ (đính kèm) chuẩn, Firefox sẽ hiển thị biểu tượng khóa như bình thường", Sid Stamm, Quản lý cấp cao về Kỹ thuật bảo mật và an ninh của Mozilla cho biết.
"Khi các chứng thư gốc của trang web không phù hợp với một trong các nhà cung cấp chứng thực số có uy tín, Firefox sẽ từ chối kết nối kèm theo thông báo lỗi (pinning error)," Sid Stamm cho biết thêm.
Nguồn: Softpedia
Chỉnh sửa lần cuối bởi người điều hành: