SSLトラフィックを傍受する“ヌルターミネーション攻撃”――専門家が報告 : セキュリティ・マネジメント - Computerworld.jp(情報元のブックマーク数)
ふむぅ、、、SSLのデジタル証明書のインフラに問題とのこと。
SSLトラフィックを傍受する新たな方法を発見したことを、米国ラスベガスで開催された「Black Hat USA 2009」に参加したセキュリティ専門家が報告した。
http://www.computerworld.jp/topics/vs/157150.html?RSS
この方法を発見したのは、モクシー・マーリンスパイク(Moxie Marlinspike)と名乗るセキュリティ専門家。マーリンスパイク氏はこの方法を紹介するとともに、WebサイトとWebブラウザ間のSSLトラフィックを狙った攻撃への注意を喚起した。
モクシー・マーリンスパイク氏(Black Hat DC 2009のインタビュー映像より)
同氏によると、考えられる攻撃としては、パスワードの窃盗、オンライン・バンキング・セッションのハイジャック、悪意のあるコードを含むFirefoxブラウザ・アップデートの送信などがある。
問題の要因は、WebブラウザのSSL実装方法、およびWebサイトの信頼性を保証するデジタル証明書の管理に使用されているX.509公開鍵インフラストラクチャ・システムにあるという。