Defend what you create

Other Resources

Close

Library
My library

+ Add to library

Contact us
24/7 Tech support

Send a message

Your tickets

Profile

Back to news

关于使用SSL v.2协议的网上银行程序安全性的说明

2017.02.16

近日Doctor Web公司技术支持部门收到一些Dr.Web产品用户的求助,问题涉及这些用户的网上银行系统使用的是非安全的SSL v.2协议,特就此发布以下说明。

目前,由于SSL v.2存在诸多漏洞,该协议以及利用该协议的应用都会导致安全问题。

该协议的一个安全隐患在于使用这一协议时可能会出现“中间人”类型攻击(MITM攻击)以及能够修改数据传输过程的攻击。SSL v.2目前所使用的MD5散列算法已被破解,不建议使用。

对SSL v.2协议不安全早有共识,1996年就已发布SSL v.3版本来替代SSL v.2协议,但后来发现在SSL v.3协议中也存在漏洞CVE-2014-3566。早在2011年,根据RFC 6176技术标准,SSL v.2协议就已被正式认定为过时协议。根据这一标准,Dr.Web反病毒产品发现使用SSL v.2协议建立连接时会向用户进行安全提示。

从Dr.Web用户向技术支持部门的求助得知,某些俄罗斯银行的网上银行程序还在继续使用非安全的SSL v.2协议。这些银行技术支持部门的员工甚至建议因使用Dr.Web而在运行网上银行程序时遇到问题的用户卸载Dr.Web,这实际上是在让自己客户的资金面临巨大风险

Doctor Web公司建议使用非安全程序的用户对其进行更新。如果无法更新,用户可以在Dr.Web 产品设置中允许使用非安全协议后允许其运行

在使用网上银行系统前建议您向银行咨询其应用程序所使用的协议是否安全,如果网上银行系统使用的是SSL v.2 或SSL v.3,不要使用这样的程序。

目前建议使用TLS v.1及更高版本的协议。

The Russian developer of Dr.Web anti-viruses

Doctor Web has been developing anti-virus software since 1992

Dr.Web is trusted by users around the world in 200+ countries

The company has delivered an anti-virus as a service since 2007

24/7 tech support

© Doctor Web
2003 — 2018

Doctor Web公司是俄罗斯信息安全反病毒保护产品厂商,产品商标为Dr.Web。Dr.Web产品研发始自1992年。

天津市经济技术开发区第四大街80号软件大厦北楼112