详细内容或原文请订阅后点击阅览
互联网研究人员超越学术界,填补重大安全漏洞
普林斯顿大学的工程师和行业领袖已经消除了潜伏在互联网加密系统中多年的威胁。
来源:普林斯顿大学多年来,一场潜在的灾难潜伏在互联网的加密系统中,威胁着全球组织和个人的安全。普林斯顿工程师现在已经拒绝了这种威胁,与行业领导者合作,将其研究转变为全球组织在8月采用的通用安全标准,并于上个月生效。
更改集中在网络浏览器和操作系统如何在建立安全连接时验证网站的身份。他们依靠被称为认证机构的第三方组织,他们基于网站所有者表现出对网站域的合法控制的能力,通常通过嵌入认证当局提供的随机价值来签发数字证书。
更改由Prateek Mittal和Jennifer Rexford教授领导的普林斯顿队表明,坏演员可以轻松地避开这些障碍,以获得他们不合法控制的网站的欺诈证书。该计划使用笔记本电脑需要不到一分钟的时间才能完成。它可以针对互联网上的任何网站。用户无法发现欺诈,因为证书是真实的,即使他们的基本事实已经伪造。有了欺诈性证书,罪犯可以攻击用户并在没有任何人知道的情况下将流量路由到假网站。
Prateek Mittal Jennifer Rexford提高了最坏情况的幽灵,他帮助迎来了新的普林斯顿标准。
帮助迎接“想象一下,有些不好的演员在您和您的新闻网站之间获得了,”迪克森说。 “它欺骗性地声称有一场迫在眉睫的自然灾害,人们必须开始撤离其地区。”
在旧系统中,假网站看起来与真实的网站一样合法。坏演员可能会造成严重破坏。他说:“对社会的伤害可能是灾难性的。”