Während einer Konferenz zur Computersicherheit wurde der Prozess zum Entschlüsseln des Cookies von PayPal aus einem Webbrowser erfolgreich demonstriert, wobei gezeigt wurde, wie die Sicherheitsforscher Juliano Rizzo und Thai Duong SSL, das am weitesten verbreitete Sicherheitsprotokoll im Web, umgehen können.
Der Code, der dies ermöglicht, wird BEAST (Browser Exploit Against SSL/TLS) genannt. Angesichts der Tatsache, dass die meisten heutigen Webdienste bestenfalls SSL oder TLS 1.0 verwenden, stellt dies ein großes Problem für das gesamte globale Netzwerk dar. Die meisten Implementierungen dieser Protokolle verwenden die CBC (Cipher Block Chaining)-Methode zur Datenverschlüsselung, die sich als anfällig erwiesen hat. Konkret kann ein Angreifer auf geschützte Daten zugreifen, wenn er die Kontrolle über das Netzwerk hat, in dem sich das Opfer befindet, und es ihm gelingt, seinen Inhalt in die geschützte Kommunikation des Opfers einzuschleusen. Zuvor muss der Angreifer das Opfer dazu verleiten, eine bösartig gestaltete Website zu besuchen, und einen Weg finden, den Schutz der "same-origin-policy" zu umgehen, der von allen modernen Webbrowsern verwendet wird. Die Forscher erreichten dies mit einem Java-Applet. Microsoft und Mozilla haben angekündigt, dass sie Patches für ihre Produkte vorbereiten. Es ist wichtig zu beachten, dass der Angriff keine Auswirkungen auf SSL-Implementierungen hat, die die RC4-Verschlüsselungstechnik verwenden, die unter anderem von Google genutzt wird. Der Angriff betrifft auch nicht neuere Versionen von TLS, 1.1 und 1.2. (www.cert.hr)
