Подробности здесь: http://hackaday.com/2009/07/29/black-hat-2009-breaking-ssl-with-null-characters/
Одна рекомендация на пост, пожалуйста.
Используйте FireFox 3.5, который, по-видимому,1 не уязвим.
(В конце концов, все клиенты SSL должны будут обновить, чтобы игнорировать null для нулевых символов при проверке совпадения имени хоста сертификата.)
1 Согласно этой статье на Реестр (последний абзац).
На самом деле это не решение, а скорее начало обсуждения.
Его можно смягчить, уменьшив зависимость от SSL. Я имею в виду, что мы не должны полагаться только на SSL и предполагать, что все SSL-соединения безопасны. Взлом по существу позволяет пользователю не обнаруживать атаки MITM.
Возможно, способ обойти это, избегая любой передачи конфиденциальной информации через соединение.
Например.
Вместо того, чтобы передавать пароли для входа через SSL, пусть пароль будет хеширован на клиенте и с какой-то солью, выданной вызовом, а затем передать его через SSL. Кроме того, неплохо было бы использовать какой-то генератор одноразовых паролей, как в некоторых банках.