Prieš savaitę „Mozilla“ pristatė naršyklę „Firefox 37.0“, tačiau per tą laiką jau spėjo išleisti atnaujinimą. Visa tai įvyko po to, kai rasta kritinė saugumo spraga, kuri susijusi su vartotojams nepastebima taip vadinama HTTP „oportunistinio šifravimo“ funkcija.
Nors HTTPS nėra privalomas, tačiau jį paprastai naudoja tokios organizacijos, kaip bankai, kadangi čia saugumas yra svarbiausias aspektas. Oportunistinio šifravimo galimybė, kuri buvo pagrindinė „Firefox 37.0“ naujovė, ne tokia funkcionali ir paplitusi, kaip HTTPS, tačiau garantuoja tam tikrą saugumo lygį.
„Firefox 37.0“ taip pat pasirodė ir HTTP/2 standarto palaikymas. Būtent jo funkciją „Alt-Svc“ (Alternative Service) ir išnaudoja kenkėjiškos programos. „Alt-Svc“ leidžia WEB serveriams pranešti kompiuteriui, kad reikalingas nukreipimas arba alternatyvus prieigos prie puslapio būdas.
„Alt-Svc“ gali būti naudojamas vartotojų nukreipimui į laikiną serverį, kai pagrindinis yra neprieinamas arba norint aktyvuoti oportunistinio šifravimo instrukcijas, o tuo ir norėjo „Mozilla“ kūrėjai. Tik HTTP/1.1 palaikančiuose puslapiuose tokia funkcija neprieinama.
Trumpai tariant, kibernetiniai nusikaltėliai galėjo vartotojus įtikinti, kad šie užeina į apsaugotą puslapį, nors iš tikrųjų tai būdavo nulaužtos ir neapsaugotos tų puslapių versijos. „Firefox 37.0.1“ oportunistinis šifravimas išjungtas; ateityje, kai problema bus išspręsta, jis bus vėl aktyvuotas.
Paieška archyve
