SSL Error баг в Google Chrome
23:53 06.09.2008Пропоную вашій увазі нову уразливість в рамках продовження проекту День багів в Google Chrome (Day of bugs in Google Chrome). Вчора я виявив цікавий баг, що безпосередньо впливає на безпеку користувачів браузера Chrome.
При заходженні на https://google.com, Хром видає наступне повідомлення:
Можливо, це не той сайт, який ви шукаєте!
Ви спробували отримати доступ до google.com, але натомість встановлено з’єднання з сервером, який ідентифікує себе як www.google.com. Це може бути спричинено неправильною конфігурацією на сервері або чимось серйознішим. Зловмисник у мережі міг спробувати змусити вас відвідати оманну (та потенційно шкідливу) версію google.com. Рекомендуємо не продовжувати.
Виходить, що Гугл вважає власний сайт небезпечним .
Зображення екрану “Помилка SSL”:
Скріншот на англійській мові: SSL Error.
Цей баг першим виявив автор сайта www.anewmorning.com, в статті про Google Chrome якого я і дізнався про нього. Причому ще в середу, як поставив Хром, я пройшовся по декільком сайтам, в тому числі і на https ресурс заходив, але жодних проблем не виникло (бо заходив я по лінці, а не набирав адресу вручну).
Автор сайта, що виявив баг, заявив, що Хром зовсім на підтримує SSL. Після власних досліджень можу заявити, що SSL він підтримує, але не повноцінно - іноді глючить при SSL з’єднанні . У випадку коли заходять на сайт за адресою “без www” та на сайті існує редирект з “домена без www” на “домен з www”.
Даний баг призводить до появи уразливості в браузері - до появи ризику витоку інформації (зокрема логінів та паролів), у випадку використання звичайного, а не SSL з’єднання з сайтом (навіть коли на сайті є SSL). Бо після отримання такого повідомлення, користувач може або зовсім передумати йти на даний сайт, або перейти на версію сайта без SSL, щоб уникнути даного повідомлення. Тобто Хром сам зменшує безпеку своїх користувачів.
Неділя, 11:25 07.09.2008
це п’ять
Тебе гуглуни проклянуть
Неділя, 15:03 07.09.2008
Правда ж весела дірка .
Стосовно ж Гугла, то якщо на перші мої повідомлення про уразливості в Хромі вони відповідали з вдячністю, то потім вони зовсім перестали відповідати