Erreur de validation de session SSL dans Netscape

Panda Software
Publié le 18 mai 2000 à 15h02
Une erreur qui permet d’empêcher l’affichage de l’alerte au faux certificat SSL, a été décelée dans Netscape Navigator.

Lorsqu’une session SSL est ouverte avec un quelconque serveur Internet, Netscape Navigator en vérifie soigneusement les conditions de certification. Le problème qui vient d’être soulevé se produit lorsque la session SSL est déjà active. Dans ce cas, toutes les connexions http au serveur d’adresses IP sont considérées comme partie intégrante de la session et les certificats ne sont donc pas re-vérifiées. En fait, au lieu de vérifier les noms des machines de la session active, Navigator compare simplement les adresses IP. Et c’est là où le bât blesse puisque plusieurs machines peuvent avoir la même adresse IP. Il existe donc une vulnérabilité potentielle et un comportement non conforme aux normes SSL.

Une attaque peut donc tout à fait être lancée, même si l’attaquant est obligé de rediriger le trafic Internet de l'utilisateur, de sorte que d’une manière générale le « DNS poisoning » ou la reconfiguration des Routeurs soit utilisée.

La plupart des services financiers et des sites de e-commerce qui utilisent la protection SSL tirent une sonnette d’alarme. Le problème découvert aujourd’hui est plus que sérieux, car il pourrait permettre la construction d’un faux site Web que le pirate utiliserait pour effectuer des transactions SSL, trompant le client en lui faisant croire qu’il traite avec le véritable site Web.

Afin de corriger cette erreur, Netscape met à disposition un composant nommé Personal Security manager (PSM). La version 4.73 de Netscape Communicator inclut également un correctif pour cette vulnérabilité.

Réalisé en collaboration avec Panda Software
Panda Software
Par Panda Software

Aucun résumé disponible

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !
Commentaires (0)
Rejoignez la communauté Clubic
Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.
Abonnez-vous à notre newsletter !

Recevez un résumé quotidien de l'actu technologique.

Désinscrivez-vous via le lien de désinscription présent sur nos newsletters ou écrivez à : [email protected]. en savoir plus sur le traitement de données personnelles