SSLstrip, chiếm quyền điều khiển SSL trong mạng

Tuần trước tại Black Hat DC, [Moxie Marlinspike] đã trình bày một cách mới lạ để chiếm quyền điều khiển SSL. Bạn có thể đọc về nó trong bài viết của Forbes này, nhưng chúng tôi khuyên bạn nên xem video. SSLstrip có thể viết lại tất cả các liên kết https dưới dạng http, nhưng nó vượt xa điều đó. Sử dụng các ký tự Unicode trông tương tự như / và? Nó có thể xây dựng URL với chứng chỉ hợp lệ và sau đó chuyển hướng người dùng đến trang gốc sau khi đánh cắp thông tin đăng nhập của họ. Cuộc tấn công có thể rất khó để người dùng trên trung bình để thông báo. Cuộc tấn công này yêu cầu quyền truy cập vào mạng của khách hàng, nhưng [Moxie] đã chạy thành công trên một nút thoát Tor.