如何防范BlackHat 2009空字符SSL漏洞？

Question

详细信息在这里：http://hackaday.com/2009/07/29/black-hat-2009-breaking-ssl-with-null-characters/

每个职位一份推荐信。

Answer 1

这不是一个真正的解决方案，更多的是一个讨论的开端。

它可以通过减少对SSL的依赖来减轻。我的意思是，我们不应该只依赖SSL，并且假设所有SSL连接都是安全的。该黑客实际上允许用户检测到MITM攻击。

也许，解决这个问题的方法是避免通过连接传递任何敏感信息。

例如：

与其通过SSL传输登录密码，不如在客户端对密码进行散列，并使用挑战发出的某种盐分，然后通过SSL进行传输。此外，使用某种OTP生成器，就像一些银行使用的一样，是个好主意。