SSLSTRIP, kaappaaminen SSL verkossa

Viime viikolla Black Hat DC: ssä [Moxie Marlinspike] esitteli uuden matkan Hijack SSL: lle. Voit lukea siitä tässä Forbes-artikkelissa, mutta suosittelemme sinua katsomaan videota. SSlstrip voi kirjoittaa kaikki HTTPS-yhteydet HTTP: ksi, mutta se menee paljon pidemmälle. Käyttämällä Unicode-merkkejä, jotka näyttävät samanlaisilta / ja? Se voi rakentaa URL-osoitteita kelvollisella varmenneella ja ohjata sitten käyttäjä alkuperäiseen sivustoon sen jälkeen, kun he ovat varastaneet niiden valtakirjan. Hyökkäys voi olla erittäin vaikeaa jopa keskimääräisten käyttäjien yläpuolella. Tämä hyökkäys edellyttää pääsyä asiakkaan verkkoon, mutta [Moxie] onnistui menestyksekkäästi Tor Exit-solmussa.