Bitcoin Forum

Атакующий может расшифровывать соединения на основе TLS 1.0

http://www.theregister.co.uk/2011/09/19/beast_exploits_paypal_ssl

TLS это такой модный  протокол, который используют вместе с SSL 3.0

В природе еще есть TLS 1.1 и 1.2, но на практике его не умеют браузеры

Тут гораздо понятнее http://www.opennet.ru/opennews/art.shtml?num=31797

Условия для взлома конечно не простые: нужна возможность снифать трафик (домашние и локальные сети, сети wifi, слабо-защищенные сети провайдеров или взломанные домашний роутер) + на момент атаки у пользователя в соседней вкладке браузера должна быть открыта страничка со скриптами javascript атакующего (javascript иньекции не такая уж и проблема, как пример недавно этот форум был взломан с возможностью размещения своего кода в шаблонах)

p.s. считаю данную уязвимость чуть ли не самой значимой... опубликованной за последнее время.
Уровень параноидальности у пользователя, который желает защититься, должен быть сильно повышен - например первая же рекомендация, для критичных к анонимности операций (например онлайн-банкинг) придется запускать отдельный браузер (или закрывать все не нужные вкладки) или возня с noscript.

Или даже поставить что-то вроде Splashtop OS (http://www.splashtop.com/os).

Не поможет, там кастрированный firefox, даже noscript не поставить.

Вся беда, что данная уязвимость - у протокола и практически все браузеры, или вернее говорить сервера - уязвимы!
Хотя, как мне кажется, достаточно во всех браузерах (выпустить срочное обновление) разделить ssl сессии для разных вкладок... хотя бы с возможностью отключить, если вдруг какой кривой софт требует многооконность и одну сессию.

p.s. не забываем, параллельно с этой уязвимостью, недавно было обнаружено, что большое количество ssl-сертификатов были скомпрометированы (украдены у выдающего центра, кажется DigiNotar), причем их пользователи - крупные веб-сервисы, такие как google, facebook, tiwter.. в общем как страшно жить.