呂守箴(OpenBlue) => 網路攻防戰~資安閒聊群組: 標題：US-CERT警告：企業監聽HTTPS反而可能使自己落入中間人攻擊風險摘要：美國國土安全部旗下的電腦緊急應變小組（US-CERT）上周向全美企業提出警告，指稱那些可監聽HTTPS通訊的安全產品將會削弱TLS協定的安全性，危及位於相關產品之後的所有系統。然而，US-CERT指出，此一架構的問題出在客戶端系統只能驗證自己與HTTPS監聽產品之間的通訊，必須仰賴監聽產品驗證伺服器的真偽，若這些監聽產品未能執行適當的驗證或正確傳達驗證狀態，就可能讓客戶端落入中間人攻擊的風險中。原始資料： HTTPS Interception Weakens TLS Security https://www.us-cert.gov/ncas/alerts/TA17-075A 引用來源： http://www.ithome.com.tw/news/112860 #58cf8ece389951a5e7c40598

呂守箴(OpenBlue) says to 網路攻防戰~資安閒聊群組

標題：US-CERT警告：企業監聽HTTPS反而可能使自己落入中間人攻擊風險摘要：美國國土安全部旗下的電腦緊急應變小組（US-CERT）上周向全美企業提出警告，指稱那些可監聽HTTPS通訊的安全產品將會削弱TLS協定的安全性，危及位於相關產品之後的所有系統。然而，US-CERT指出，此一架構的問題出在客戶端系統只能驗證自己與HTTPS監聽產品之間的通訊，必須仰賴監聽產品驗證伺服器的真偽，若這些監聽產品未能執行適當的驗證或正確傳達驗證狀態，就可能讓客戶端落入中間人攻擊的風險中。原始資料： HTTPS Interception Weakens TLS Security https://www.us-cert.gov/ncas/alerts/TA17-075A 引用來源： http://www.ithome.com.tw/news/112860

at Mon, Mar 20, 2017 4:11 PM