Erreur de validation de session SSL dans Netscape

Panda Software
18 mai 2000 à 15h02
0
Une erreur qui permet d’empêcher l’affichage de l’alerte au faux certificat SSL, a été décelée dans Netscape Navigator.

Lorsqu’une session SSL est ouverte avec un quelconque serveur Internet, Netscape Navigator en vérifie soigneusement les conditions de certification. Le problème qui vient d’être soulevé se produit lorsque la session SSL est déjà active. Dans ce cas, toutes les connexions http au serveur d’adresses IP sont considérées comme partie intégrante de la session et les certificats ne sont donc pas re-vérifiées. En fait, au lieu de vérifier les noms des machines de la session active, Navigator compare simplement les adresses IP. Et c’est là où le bât blesse puisque plusieurs machines peuvent avoir la même adresse IP. Il existe donc une vulnérabilité potentielle et un comportement non conforme aux normes SSL.

Une attaque peut donc tout à fait être lancée, même si l’attaquant est obligé de rediriger le trafic Internet de l'utilisateur, de sorte que d’une manière générale le « DNS poisoning » ou la reconfiguration des Routeurs soit utilisée.

La plupart des services financiers et des sites de e-commerce qui utilisent la protection SSL tirent une sonnette d’alarme. Le problème découvert aujourd’hui est plus que sérieux, car il pourrait permettre la construction d’un faux site Web que le pirate utiliserait pour effectuer des transactions SSL, trompant le client en lui faisant croire qu’il traite avec le véritable site Web.

Afin de corriger cette erreur, Netscape met à disposition un composant nommé Personal Security manager (PSM). La version 4.73 de Netscape Communicator inclut également un correctif pour cette vulnérabilité.

Réalisé en collaboration avec Panda Software
Modifié le 01/06/2018 à 15h36
Soyez toujours courtois dans vos commentaires
et respectez le réglement de la communauté.
0
0

Actualités récentes

Black Lightning : un trailer pour annoncer son retour (et ses adieux) en février sur The CW
Comparatif : quel hub USB-C choisir pour optimiser la connectique de votre PC ?
Harry Potter : HBO Max aurait commencé à travailler sur une potentielle adaptation en série
Les astronautes de l'ISS gardent un endroit de la station sale pour une expérience du CNES
Soldes : les meilleurs bons plans high-tech avant la 2ème démarque !
Test Yale Linus Smart Lock : cette serrure connectée simplifie t-elle vraiment la vie ?
Soldes Boulanger : cet écran gamer MSI est à prix cassé
L'opérateur RED by SFR relance son forfait 200 Go à 15€
L'édition collector Complete Set de Resident Evil 8 Village est affichée... à plus de 1 500 euros !
Haut de page