Eden najbolj znanih mehanizmov (protokolov) za zagotavljanje varne in šifrirane komunikacije s spletnimi mesti je varnost prenosnega sloja (TLS).


2::Heartbleed.
3::Napad DROWN.
1::Zeus.

Odgovor ni pravilen. Vendar je hrošč Heartbleed povezan z varnostjo OpenSSL (tj. odprtokodnega orodja, s katerim se izvaja varnost prenosnega sloja). Je programska napaka, ki je bila prvič objavljena 7. aprila 2014 na spletnem mestu

http://heartbleed.com/ in omogoča, da lahko kdor koli bere pomnilnik sistemov, ki jih varujejo ranljive različice programske opreme OpenSSL (zato se lahko odgovor šteje za delno pravilnega). Hrošč Heartbleed je škodoval več priljubljenim spletnim storitvam. Za več informacij glej tudi poročilo agencije ENISA Flash Note: Heartbleed - A wake-up call (Opozorilo: Heartbleed – budnica) na povezavi: https://www.enisa.europa.eu/publications/flash-notes/flash-note-heartbleed-a-wake-up-call.

Vendar so spletna mesta do zdaj večinoma rešila težavo s tem hroščem.

 

Pravilni odgovor je napad DROWN. Ta napad prisluškovalcu omogoča, da zajame in dešifrira komunikacijo med uporabnikom in spletnim mestom „https“, ki naj bi bila varna, če strežnik TLS, ki ga uporablja spletno mesto, podpira zastareli SSLv2, ki je predhodnik varnosti prenosnega sloja. Napad DROWN je močno svarilo, da je zastarela kriptografija nevarna. Noben strežnik TLS ne bi smel uporabljati nobene različice sloja varnih vtičnic (SSL).

Za več informacij glej:

https://drownattack.com/

in informativno obvestilo agencije ENISA:

https://www.enisa.europa.eu/publications/info-notes/the-drown-attack.

 

Odgovor je pravilen. Napad DROWN prisluškovalcu omogoča, da zajame in dešifrira komunikacijo med uporabnikom in spletnim mestom „https“, ki naj bi bila varna, če strežnik TLS, ki ga uporablja spletno mesto, podpira zastareli SSLv2, ki je predhodnik varnosti prenosnega sloja. Napad DROWN je močno svarilo, da je zastarela kriptografija nevarna. Noben strežnik TLS ne bi smel uporabljati nobene različice sloja varnih vtičnic (SSL).

Za več informacij glej:

https://drownattack.com/

in informativno obvestilo agencije ENISA:

https://www.enisa.europa.eu/publications/info-notes/the-drown-attack.

 

Vendar je z varnostjo OpenSSL (odprtokodnega orodja, s katerim se izvaja varnost prenosnega sloja (TLS)) povezan tudi hrošč Heartbleed. O njem so prvič poročali leta 2014, ogrozil pa je številne strežnike TLS. Spletna mesta so do zdaj večinoma rešila težavo s tem hroščem. Za več informacij glej poročilo agencije ENISA Flash Note: Heartbleed - A wake-up call (Opozorilo: Heartbleed – budnica) na povezavi:

https://www.enisa.europa.eu/publications/flash-notes/flash-note-heartbleed-a-wake-up-call.

 

Odgovor ni pravilen. Zeus je znana zlonamerna programska oprema, ki poskuša ukrasti zaupne informacije z ogroženega računalnika. Za več informacij glej: https://en.wikipedia.org/wiki/Zeus_(malware).

 

Pravilni odgovor je napad DROWN. Ta napad prisluškovalcu omogoča, da zajame in dešifrira komunikacijo med uporabnikom in spletnim mestom „https“, ki naj bi bila varna, če strežnik TLS, ki ga uporablja spletno mesto, podpira zastareli SSLv2, ki je predhodnik varnosti prenosnega sloja. Napad DROWN je močno svarilo, da je zastarela kriptografija nevarna. Noben strežnik TLS ne bi smel uporabljati nobene različice sloja varnih vtičnic (SSL).

Za več informacij glej:

https://drownattack.com/.

in informativno obvestilo agencije ENISA:

https://www.enisa.europa.eu/publications/info-notes/the-drown-attack.



Pogosto se uporablja na primer na spletnih mestih za elektronsko trgovanje ali spletno bančništvo, da se zagotovi varna komunikacija med računalnikom uporabnika in računalniki storitve. Varnost prenosnega sloja je običajno prisotna, kadar naslov spletnega mesta vsebuje „https“ namesto „http“. 

Leta 2016 so raziskovalci pri več izvedbah varnosti prenosnega sloja našli varnostno ranljivost. Po njihovih navedbah je 33 % dosegljivih strežnikov TLS ranljivih na ta napad. 

Kako se imenuje ta napad na varnost prenosnega sloja?