SSL mana mogla se koristiti za hakiranje Twittera

Konzorcij internetskih tvrtki pokušao je popraviti SSL izdavanje od 5. studenog kada je slučajno napravljen javno na popisu rasprava. No, došlo je do neke rasprave o ozbiljnosti nedostatka. Ubrzo nakon objavljivanja bugova, IBM-ov istraživač Tom Cross rekao je da problem neće biti ugrožen velikim web-aplikacijama.

[Daljnje čitanje: Kako ukloniti zlonamjerni softver s vašeg Windows računala]

Ali Križ je promijenio mišljenje, pišući: "Nažalost, situacija je gore nego što sam mislio."

Webmail aplikacije, osobito, također mogu biti u opasnosti od napada. I stručnjaci za sigurnost također se brinu zbog toga što druge aplikacije - primjerice - mogu biti ugrožene.

Twitter.com je osjetljiv na bug jer je učinio ono što se naziva ponovnim pregovaranjem klijenata pod SSL-om. Ponovno pregovaranje s klijentima daje web stranicama način da korisniku Twittera zatražite SSL certifikat nakon što je korisnik već povezan s web lokacijom. To je koristan alat za web lokacije koje korisnicima omogućuju prijavu pomoću pametnih kartica ili za web lokacije koje ograničavaju pristup odabranoj skupini unaprijed definiranih web surfera, ali sve dok se pogreška ne riješi, ponovni pregovori klijenta također otvaraju vrata za SSL napade.

There vjerojatno su mnoge web stranice poput Twittera koje omogućuju renegatiranje klijenta jednostavno zato što je ugrađeno u SSL protokol i njegov nasljednik, TLS (Transport Layer Security), rekao je Marsh Ray, jedan od developera tvrtke PhoneFactor koji je otkrio problem. "Mnogo ljudi nije shvatilo da to rade", rekao je.

Dobra vijest je da mnoge web stranice jednostavno mogu onemogućiti, što je očito ono što je Twitter učinio. Twitter nije odgovorio na poruku koja traži komentar o ovoj priči. Prema Rayu, ljudi bi trebali shvatiti da, iako SSL mana nije katastrofalna, "ovo je ozbiljan bug i ljudi ga trebaju zakrpati".