FREAK — TLS Downgrade атака на Android и iOS

[ValdikSS]

Я тут провел мини-исследование, и выяснилось, что веб-серверы более половины веб-сайтов из топа используют динамические ключи на клиента.

Всего хостов в листе: 415
Хосты с EXPORT: 374
Хосты со случайным ключом на каждое соединение: 215
Хосты со статическими ключами на каждое соединение: 159

gist.github.com/ValdikSS/f4ba45198fe69c349e9c

[ValdikSS]

Обновленные данные:

Всего хостов в листе: 415
Хосты с EXPORT: 368
Хосты со случайным ключом на каждое соединение: 137
Хосты со статическими ключами на каждое соединение: 231

Я довольно сильно ошибся из-за ошибки в скрипте, но все равно много.

[alkov]

У меня Chrome под Android по ссылке из статьи показывает, что он уязвим. Видимо, тоже придётся ждать обновления

[bondbig]

Хром под iOS 8.1.3 на этой странице пишет, что не подвержен уязвимости. Сафари пишет, что уязвим. Странно, это правда или баг теста?

[MyHabrahabr]

это правда

Скорее всего, так как у Chrome свой TLS-стек.

С сайта:

Update (Mar. 5): Further testing confirms that far more browsers are susceptible to the FREAK attack than originally believed. The following browsers appear to be vulnerable:
•Internet Explorer
•Chrome on Mac OS and Android < — нет iOS
•Safari on Mac OS and iOS
•Blackberry Browser
•Opera on Mac OS and Linux

(Earlier versions of our browser test gave incorrect results for IE; it is vulnerable.)

[ValdikSS]

О, спасибо за апдейт!