Vývojáři Firefoxu i dalších prohlížečů se snaží ochránit uživatele
před útokem, který umožňuje sledovat šifrovanou komunikaci
realizovanou přes protokol https/ssl. Pro jaký postup se nakonec
rozhodnou?
(O zranitelnost v SSL viz. díl pravidelného bezpečnostního přehledu.)
Exploit proti zranitelnosti nazvaný Beast demonstrovali Thai Duong a
Juliano Rizzo. Za méně než dvě minuty se jim podařilo obnovit
autentizační cookie, která sloužila pro přístup k účtu PayPal. Útok
funguje pomocí javascriptového kódu vsunutého do relace, přičemž
základní funkčnost mu dodává javový applet. Ten ovšem výzkumníci
nezveřejnili.
Vývojář Firefoxu Brian Smith doporučuje, aby za těchto okolností
prohlížeč přestal podporovat Javu a prostě zablokoval veškeré
příslušné plug-iny. Mozilla nemá podle něj prostředky pro záplatování
těchto plug-inů a opravu by měl vydat Oracle. Zatím však není jasné,
jak moc vážně Oracle příslušné riziko bere. Smithův kolega Justin
Scott ovšem dodává, že zákaz Javy by řadě uživatelů rozhodně
zkomplikoval život; v Javě funguje např. videochat na Facebooku a řada
vnitropodnikových aplikací.
Mozilla zvažuje i další možnosti, třeba povolit Javu pouze u výslovně
jmenovaných serverů (whitelist). Google postupuje jinak. Nově vydané
verze prohlížeče Chrome by měly útoku Beast předcházet generováním
náhodných dat během SSL relace, což by útočníkovi mělo podstatně
ztížit dešifrovací proces. Výsledkem ale může být nekompatibilita
prohlížeče s některými servery. Chrome bude proto třeba zřejmě
aktualizovat znovu.
Microsoft nabízí pro Internet Explorer několik postupů, jak problém
obejít. Společnost údajně také pracuje na vlastní záplatě.
