Strona będzie wyświetlana identycznie, tyle że połączenie nie będzie szyfrowane (Rysunek 11).
Rysunek 9. Strona GE Money Bank wyświetlana z użyciem szyfrowanego połączenia Rysunek 10. Informacje o certyfikacie służącym do zabezpieczania połączeń z GE Money Bank Rysunek 11. Strona GE Money Bank wyświetlona z użyciem nie szyfrowanego połączenia Jak widać, ktoś zapomniał o przekierowywaniu połączeń dla innych stron niż strona główna (zła praktyka konfiguracyjna, serwer nie powinien umożliwiać połączeń kanałem otwartym jeśli
przewidziany jest jedynie do obsługi połączeń szyfrowanych).
Skrócony opis przedstawiony został poniżej:
· Ponieważ protokół w tej wersji nie posiada zabezpieczenia procedury nawiązywania połączenia (handshake) możliwe jest wpłynięcie przez stronę trzecią na wybór algorytmu konta osobiste Atakujący może wymusić użycie słabego algorytmu szyfrującego.
· W przypadku wersji 2.0 strona trzecia w sposób niedostrzeżony może usunąć część danych przesyłanych szyfrowanym połączeniem.
· Jedynym algorytmem zapewniającym integralność przesyłany dany w ramach połączenia SSL w wersji 2.0 jest MD5.
Zabieg ten
ma na celu m. in. uniemożliwić odwołanie się do serwera
protokołem z otwartym kanałem danych. Ma to zapobiec
przechwyceniu ewentualnie wysyłanych przez przeglądarkę
cookies. W cookies mogą znajdować się poufne dane, jak np.
identyfikator sesji umożliwiający przechwycenie sesji klienta z
serwerem. Ponadto jeżeli z aplikacją można połączyć się
poprzez HTTP, klient nie jest w stanie stwierdzić, podczas
takiego połączenia, czy w połączenie nie ingeruje strona
trzecia. darmowe mp3mousefix cs half life logo creator download Jezdnia pracowita pewnie konsumuje nieprzyzwoite kaloryfery.