细节在这里: http : //hackaday.com/2009/07/29/black-hat-2009-breaking-ssl-with-null-characters/
每个职位的一个build议请。
使用FireFox 3.5显然是不容易的。
(最后,当检查证书的主机名匹配时,所有SSL客户端将需要更新以忽略null字符为空字符。)
1根据“登记册 ”上的这篇文章(最后一段)。
这不是一个真正的解决scheme,而是更多的讨论开始。
它可以通过减less对SSL的依赖来减轻。 我的意思是我们不应该仅仅依靠SSL,并且假设所有的SSL连接都是安全的。 黑客本质上允许MITM攻击被用户检测到。
也许,解决这个问题的方法是避免通过连接传输任何敏感信息。
例如。
而不是通过SSL传输login密码,密码在客户端散列,并通过挑战发出某种盐,然后通过SSL传输。 另外,像某些银行使用某种OTP生成器,这是一个好主意。