yebo blog: Black Hatで新しいSSL攻撃法?が発表2009/02/20 Black Hatで新しいSSL攻撃法?が発表 Black Hat カンファレンスで独立系ハッカー Moxie Marlinspike 氏が SSL を破る新しい方法を披露したそうだ (New Tricks For Defeating SSL In Practice)。氏は SSLstrip というProxyツールを使って、ブラウザにHTTPSで保護されたサイトにアクセスしていると誤認させる。実態はProxyとユーザとの間はHTTP通信であるため、クラッカーは通信の内容を読む事ができてしまうというもの。一般的にどのWebサイトも最初は暗号通信ではなく、http://example.com のように接続し、ログイン画面に移る際にSSLサイト、例えば https://secure.example.com にリダイレクトする方法をとっている。この置き換わるところをうまく利用
http://japan.internet.com/webtech/20090219/10.html?rss
