Научные сотрудники Bell Laboratories обнаружили уязвимое место в шифровании по протоколу SSL (Secure Socket Level - уровень защищенных гнезд), который обычно используют в транзакциях электронной коммерции.
Найденный ими способ проникновения позволяет хакеру распознать сеансовый ключ, используемый в транзакции, на основании получаемых с сервера сообщений об ошибках. Однако официальные лица фирмы RSA отмечают, что поскольку сеансовый ключ является одноразовым и генерируется случайным образом, то хакер может перехватить самое большее информацию, связанную с одним конкретным сеансом. По всей видимости, это наиболее опасно для электронных банковских операций, осуществляемых из дома, так как этим способом хакер может узнать банковскую информацию пользователя.
Хотя реальных случаев хакерских атак с использованием этого дефекта SSL еще не зарегистрировано, производители ПО готовят программные “заплаты”, которые позволят замаскировать сообщения об ошибках. В конце июня официальные лица Netscape сообщили, что уже разработан один из возможных вариантов таких “заплат”.
