Краткий ответ: Вы можете 1) ждать, 2) избегать подключений к важным серверам в точках общего доступа.
Прежде всего, не слишком пугайтесь. Сохраняйте спокойствие и слушайте последующие эпизоды, которые наверняка помогут решить проблему или обойти ее.
Насколько я понимаю, описанная атака делает возможным создание одного защищенного запроса TLS (или SSL), который можно сделать похожим на аутентифицированный. Человеку-посреднику никогда не удастся прочитать что-либо из соединения, он может вставить только один вредоносный запрос в начало безопасного потока. Злоумышленник даже не может прочитать ответ, поэтому он должен полагаться на запрос злонамеренного действия.
Но вы правы, эта ситуация требует обновления всех защищенных веб-серверов. Это не может быть предотвращено на стороне клиента, поэтому нет смысла обновлять вашу систему. Что могут сделать клиенты, так это спросить, знает ли сервер , как предотвратить это, и просто отбросить соединение, если сервер ничего об этом не знает. Но ... «вы знаете, если бы мы сказали нашим браузерам не разрешать TLS без защиты пересмотра, мы бы сегодня ни с кем не разговаривали». Таким образом, защита оказывается такой же, как простое избегание TLS.
Но прежде, чем есть исправление ... хорошо, факт остается фактом: любое TLS-соединение, открытое на общедоступной точке доступа, может незаметно предшествовать одностороннему вредоносному запросу. Конечно, вы не хотели бы, чтобы эта просьба говорила "перевести X деньги на этот Y счет". :) Но с другой стороны, подобные банковские транзакции требуют многократной загрузки страниц и связи с учетными данными, поэтому я не вижу там никакого риска.
И там есть и худшие, и более вероятные угрозы. Это просто особенно интересно, поскольку, похоже, в настоящее время нет способа избежать этого. Охранники интересуются такими вещами. Кажется, что реальность такова, что людей можно подделать намного серьезнее и проще (проще всего - человек посередине превращает все HTTPS в незащищенный HTTP, и большинство людей этого не замечают), поэтому я не понять, почему кто-то будет беспокоиться об этой атаке. Но да, чтобы быть в безопасности, я бы посоветовал не открывать соединения с важными службами в точках общего доступа.