31 марта компания Firefox представила браузер Firefox 37.0, однако за минувшую с тех пор неделю разработчики уже успели выпустить для него обновление. Произошло это после обнаружения критической уязвимости, которая затрагивает HTTPS-шифрование и невидима для пользователей. Между тем, появление поддержки оппортунистического шифрования было одним из наиболее освещаемых нововведений данной версии.
HTTPS-соединение не используется по умолчанию многими сайтами. Обычно это делают сайты организаций, вроде банков, где безопасность находится на первом месте. Возможности оппортунистического шифрования не столь обширны, как у HTTPS, однако оно обеспечивает некоторую защиту.
Также в Firefox 37 появилась поддержка стандарта HTTP/2. Именно его функцию под названием Alt-Svc (Alternative Service) использует эксплоит. Alt-Svc позволяет веб-серверу сообщить компьютеру, что требуется перенаправление или альтернативный метод доступа к определённому веб-сайту. Alt-Svc может использоваться для перенаправления на временный сервер при недоступности основных или для выпуска инструкций оппортунистического шифрования, чем и хотели воспользоваться в Firefox. На поддерживающих только стандарт HTTP 1.1 сайтах функция была недоступна.
Говоря простыми словами, хакеры могли убедить пользователей в том, что они заходят на защищённые сайты, в то время как в действительности они были на взломанных незащищённых версиях. В Firefox 37.0.1 оппортунистическое шифрование отключено; в будущем после исправления проблемы оно вернётся.