关于使用SSL v.2协议的网上银行程序安全性的说明
2017.02.16
目前,由于SSL v.2存在诸多漏洞,该协议以及利用该协议的应用都会导致安全问题。
该协议的一个安全隐患在于使用这一协议时可能会出现“中间人”类型攻击(MITM攻击)以及能够修改数据传输过程的攻击。SSL v.2目前所使用的MD5散列算法已被破解,不建议使用。
对SSL v.2协议不安全早有共识,1996年就已发布SSL v.3版本来替代SSL v.2协议,但后来发现在SSL v.3协议中也存在漏洞CVE-2014-3566。早在2011年,根据RFC 6176技术标准,SSL v.2协议就已被正式认定为过时协议。根据这一标准,Dr.Web反病毒产品发现使用SSL v.2协议建立连接时会向用户进行安全提示。
从Dr.Web用户向技术支持部门的求助得知,某些俄罗斯银行的网上银行程序还在继续使用非安全的SSL v.2协议。这些银行技术支持部门的员工甚至建议因使用Dr.Web而在运行网上银行程序时遇到问题的用户卸载Dr.Web,这实际上是在让自己客户的资金面临巨大风险。
Doctor Web公司建议使用非安全程序的用户对其进行更新。如果无法更新,用户可以在Dr.Web 产品设置中允许使用非安全协议后允许其运行。
在使用网上银行系统前建议您向银行咨询其应用程序所使用的协议是否安全,如果网上银行系统使用的是SSL v.2 或SSL v.3,不要使用这样的程序。
目前建议使用TLS v.1及更高版本的协议。
点评
转发
![[VK]](http://st.drweb.cn/static/new-www/social/no_radius/vkontakte.png)
![[Twitter]](http://st.drweb.cn/static/new-www/social/no_radius/twitter.png)
点赞
![[facebook]](http://st.drweb.cn/static/new-www/social/no_radius/facebook.png)
Tell us what you think
To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.
Other comments