ads
ads
ads
ads
ads
МЕНЮ:
Главная Сотовая связь Софт Веб-мастеру Графика Железо Portable Игры Интернет Чудеса Науки Apache Delphi Drupal Flash Html Юмор Каталог ноутбуков FAQ
загрузка...


О железках:
Как создать электронную книгу на iPhone и iPad
Xiaomi показала официальные пресс-рендеры Redmi 6 Pro
Huawei P20 Pro получил звание лучшего смартфона 2018 года
Гендиректор Intel уходит в отставку из-за секс-связи
Представлен новый смартфон Vivo Y81 на чипе Helio P22
Топ новостей
Samsung принимает заказы на непредставленные Galaxy Sta ...
Samsung принимает заказы на непредставленные Galaxy Sta ...


Жесткий диск компьютера может «убить» звуковой файл
Жесткий диск компьютера может «убить» звуковой файл


6.5-дюймовый iPhone 2018 показан на видео
6.5-дюймовый iPhone 2018 показан на видео


Acer представила ультралегкий 15,6-дюймовый ноутбук Swi ...
Acer представила ультралегкий 15,6-дюймовый ноутбук Swi ...


«Прозрачность» Xiaomi Mi8 Exploration Edition оказалась ...
«Прозрачность» Xiaomi Mi8 Exploration Edition оказалась ...


Google разрабатывает смартфон на новейшем чипе Snapdrag ...
Google разрабатывает смартфон на новейшем чипе Snapdrag ...


Для южнокорейского рынка выпущен смартфон Samsung Galax ...
Для южнокорейского рынка выпущен смартфон Samsung Galax ...


Первым в мире смартфоном на чипе Helio P22 стал Vivo Y8 ...
Первым в мире смартфоном на чипе Helio P22 стал Vivo Y8 ...


Meizu выпустила бюджетный полноэкранный смартфон Meizu  ...
Meizu выпустила бюджетный полноэкранный смартфон Meizu ...


31 мая Xiaomi представит стандартную и специальную верс ...
31 мая Xiaomi представит стандартную и специальную верс ...


О софте:
"Лунная деревня" приобретает очертания
BASSLET — гаджет любителей клубов
Хакеры способны взломать кардиостимуляторы
Новосибирские физики построят коллайдер
Китай изучит гравитационные волны


Age Of Comp » Чудеса Науки » Новая атака на HTTPS позволяет получать информацию о переданных паролях

Новая атака на HTTPS позволяет получать информацию о переданных паролях

Новая атака на HTTPS позволяет получать информацию о переданных паролях

Исследователь в области компьютерной безопасности из Нидерландов, Гвидо Вранкен [Guido Vranken] обнаружил новый метод атаки на зашифрованный по TLS/SSL трафик. В теории он позволяет извлекать определённую информацию о передаваемых по протоколу HTTPS данных. Эту информацию затем можно использовать для повышения эффективности взлома.

Атака, названная исследователем "HTTPS Bicycle Attack" (велосипедная атака) позволяет определить длину некоторых данных, передаваемых в зашифрованном виде: длина заголовка куков, длина паролей, передаваемых методом POST, GPS-координаты, адресов IPv4 и т.п. При этом анализу поддаётся даже трафик, оставшийся в логах.

Правда, чтобы извлечь информацию о длине полей, необходимо заранее знать длину некоторых из передаваемых данных. Кроме того, атака работает только при использовании потокового шифра.

Вычтя из длины заголовка аутентификации длину логина, URL-адреса, где авторизуется клиент, и другую вспомогательную информацию, атакующий может получить длину пароля, после чего атака методом подбора станет немного более эффективной.

В качестве рекомендаций для администраторов ресурсов Вранкен советует отключить потоковое шифрование, всегда использовать последнюю версию TLS (пока это 1.2) и маскировать истинную длину самых чувствительных данных, дополняя их символами, которые потом будут отброшены.

Теоретическая возможность такой атаки не является поводом для паники – для её успеха необходимо выполнение многих условий. И, конечно, пользователи, использующие нестандартные случайные и достаточно длинные пароли, причём разные на разных ресурсах, пока ещё могут чувствовать себя в безопасности.


Нравится пост? Жми: