SSL Error баг в Google Chrome

23:53 06.09.2008

Пропоную вашій увазі нову уразливість в рамках продовження проекту День багів в Google Chrome (Day of bugs in Google Chrome). Вчора я виявив цікавий баг, що безпосередньо впливає на безпеку користувачів браузера Chrome.

При заходженні на https://google.com, Хром видає наступне повідомлення:

Можливо, це не той сайт, який ви шукаєте!
Ви спробували отримати доступ до google.com, але натомість встановлено з’єднання з сервером, який ідентифікує себе як www.google.com. Це може бути спричинено неправильною конфігурацією на сервері або чимось серйознішим. Зловмисник у мережі міг спробувати змусити вас відвідати оманну (та потенційно шкідливу) версію google.com. Рекомендуємо не продовжувати.

Виходить, що Гугл вважає власний сайт небезпечним :-D .

Зображення екрану “Помилка SSL”:

Google Chrome SSL Error

Скріншот на англійській мові: SSL Error.

Цей баг першим виявив автор сайта www.anewmorning.com, в статті про Google Chrome якого я і дізнався про нього. Причому ще в середу, як поставив Хром, я пройшовся по декільком сайтам, в тому числі і на https ресурс заходив, але жодних проблем не виникло (бо заходив я по лінці, а не набирав адресу вручну).

Автор сайта, що виявив баг, заявив, що Хром зовсім на підтримує SSL. Після власних досліджень можу заявити, що SSL він підтримує, але не повноцінно - іноді глючить при SSL з’єднанні :-) . У випадку коли заходять на сайт за адресою “без www” та на сайті існує редирект з “домена без www” на “домен з www”.

Даний баг призводить до появи уразливості в браузері - до появи ризику витоку інформації (зокрема логінів та паролів), у випадку використання звичайного, а не SSL з’єднання з сайтом (навіть коли на сайті є SSL). Бо після отримання такого повідомлення, користувач може або зовсім передумати йти на даний сайт, або перейти на версію сайта без SSL, щоб уникнути даного повідомлення. Тобто Хром сам зменшує безпеку своїх користувачів.


2 відповідей на “SSL Error баг в Google Chrome”

  1. trovich каже:

    :lol: :lol: це п’ять
    Тебе гуглуни проклянуть :mrgreen:

  2. MustLive каже:

    Правда ж весела дірка :D .

    Стосовно ж Гугла, то якщо на перші мої повідомлення про уразливості в Хромі вони відповідали з вдячністю, то потім вони зовсім перестали відповідати :lol:

Leave a Reply

You must be logged in to post a comment.