在Ruhr學(xué)院的研究者發(fā)現(xiàn)XML加密協(xié)議中存在的嚴(yán)重安全漏洞，并在本次芝加哥舉行的ACM展會(huì)上予以發(fā)表。“一切都變得不安全”是這次漏洞發(fā)現(xiàn)所傳遞的消息。XML加密協(xié)議是一種用于服務(wù)器與服務(wù)器之間傳遞敏感和不敏感信息的一種協(xié)議。它的加密算法基于塊加密的連綴，不過(guò)很顯然，它并不是想象中的那么安全。

根據(jù)研究人員聲明，他們可以通過(guò)發(fā)送被稍加變動(dòng)的密文到服務(wù)器，并根據(jù)其返回的錯(cuò)誤信息來(lái)破解這種加密。

研究者們用一個(gè)非常廣泛使用的開源XML加密協(xié)議的實(shí)現(xiàn)和一些企業(yè)內(nèi)使用XML加密的閉源系統(tǒng)進(jìn)行測(cè)試。結(jié)果是：他們都能破解信息。

目前來(lái)說(shuō)，修復(fù)這個(gè)安全問(wèn)題需要W3C修訂對(duì)XML加密的標(biāo)準(zhǔn)。這可不是件容易辦到的事。
 

【編輯推薦】

1. Mandriva對(duì)w3c-libwww升級(jí)
2. Fedora對(duì)w3c-libwww中的漏洞升級(jí)
3. W3C Jigsaw未明遠(yuǎn)程URI解析漏洞
4. W3C Libwww復(fù)合部分MIME數(shù)據(jù)處理漏洞
5. 數(shù)據(jù)加密理論基礎(chǔ)總結(jié)概述