据外媒报道,Firefox 缓存中间证书运行方式存在隐患,允许攻击者查看 Firefox 用户的各种详细信息。
安全研究员 Alexander Klink 发现,如果浏览器的中间 CA 证书已缓存完成,那么即使服务器没有向其提供完整的证书链,Firefox 也可以加载网页。通常,Root 证书颁发机构不会使用 Root 证书来建立安全连接,而是用 Root 证书生成中间证书的代替。当服务器配置错误时,如果仅发送服务器证书,那么浏览器将加载失败无法获取网页信息,不过,要是 Firefox 浏览器的中间 CA 证书已缓存完成,用户仍可成功建立连接、加载信息。
攻击者可以根据浏览器缓存的中间 CA 证书来确定有关目标用户的具体细节。这些细节包括地理位置、浏览习惯、运行环境等用户“指纹”。攻击者可以将此信息出售给广告公司,或者利用它向目标用户提供特定“内容”。
Klink 在 1 月 27 日向 Mozilla 报告了这个问题,但目前还不清楚该公司将如何解决该问题。
用户可行的解决方法:
1、定期清理配置文件、创建新配置文件
2、从 Firefox UI 中或使用 certutil 命令行清除现有配置文件
3、使用插件阻止第三方
本文由 HackerNews.cc 翻译整理,封面来源于网络。
转载请注明“转自 HackerNews.cc ” 并附上原文链接。
from hackernews.cc.thanks for it.