ads
ads
ads
ads
ads
МЕНЮ:
Главная Сотовая связь Софт Веб-мастеру Графика Железо Portable Игры Интернет Чудеса Науки Apache Delphi Drupal Flash Html Юмор Каталог ноутбуков FAQ
загрузка...


О железках:
Xiaomi сэкономила на быстрой зарядке Redmi Note 5 и 5 Pro
Смартфон Xiaomi Mi Mix 2S замечен в первом видео
Skype выпустят в версии Professional
Представлен недорогой смартфон Celkon UniQ с 3 ГБ оперативной памяти
Как узнать, сколько времени вы провели в приложениях на iPhone или iPad
Топ новостей
LG X4+ с 5,3-дюймовым дисплеем и долговечностью военног ...
LG X4+ с 5,3-дюймовым дисплеем и долговечностью военног ...


Выявлены технические характеристики Nokia 8 Sirocco
Выявлены технические характеристики Nokia 8 Sirocco


Реальное фото Xiaomi Mi 7 опубликовали в Сети
Реальное фото Xiaomi Mi 7 опубликовали в Сети


Samsung запатентовала уникальный метод разблокировки ус ...
Samsung запатентовала уникальный метод разблокировки ус ...


Huawei показала новую технологию быстрой зарядки — 48%  ...
Huawei показала новую технологию быстрой зарядки — 48% ...


Официально представлена 4G-версия телефона Nokia 3310
Официально представлена 4G-версия телефона Nokia 3310


Опубликованы официальные рендеры Samsung Galaxy S9 и S9 ...
Опубликованы официальные рендеры Samsung Galaxy S9 и S9 ...


Dell переработала электронные отходы и сделала из них з ...
Dell переработала электронные отходы и сделала из них з ...


Xiaomi «тихонько» выпустила версию Redmi 5 с 4 ГБ опера ...
Xiaomi «тихонько» выпустила версию Redmi 5 с 4 ГБ опера ...


У Apple закончились iPhone 6 Plus для замены — можно по ...
У Apple закончились iPhone 6 Plus для замены — можно по ...


О софте:
"Лунная деревня" приобретает очертания
BASSLET — гаджет любителей клубов
Хакеры способны взломать кардиостимуляторы
Новосибирские физики построят коллайдер
Китай изучит гравитационные волны


Age Of Comp » Чудеса Науки » Новая атака на HTTPS позволяет получать информацию о переданных паролях

Новая атака на HTTPS позволяет получать информацию о переданных паролях

Новая атака на HTTPS позволяет получать информацию о переданных паролях

Исследователь в области компьютерной безопасности из Нидерландов, Гвидо Вранкен [Guido Vranken] обнаружил новый метод атаки на зашифрованный по TLS/SSL трафик. В теории он позволяет извлекать определённую информацию о передаваемых по протоколу HTTPS данных. Эту информацию затем можно использовать для повышения эффективности взлома.

Атака, названная исследователем "HTTPS Bicycle Attack" (велосипедная атака) позволяет определить длину некоторых данных, передаваемых в зашифрованном виде: длина заголовка куков, длина паролей, передаваемых методом POST, GPS-координаты, адресов IPv4 и т.п. При этом анализу поддаётся даже трафик, оставшийся в логах.

Правда, чтобы извлечь информацию о длине полей, необходимо заранее знать длину некоторых из передаваемых данных. Кроме того, атака работает только при использовании потокового шифра.

Вычтя из длины заголовка аутентификации длину логина, URL-адреса, где авторизуется клиент, и другую вспомогательную информацию, атакующий может получить длину пароля, после чего атака методом подбора станет немного более эффективной.

В качестве рекомендаций для администраторов ресурсов Вранкен советует отключить потоковое шифрование, всегда использовать последнюю версию TLS (пока это 1.2) и маскировать истинную длину самых чувствительных данных, дополняя их символами, которые потом будут отброшены.

Теоретическая возможность такой атаки не является поводом для паники – для её успеха необходимо выполнение многих условий. И, конечно, пользователи, использующие нестандартные случайные и достаточно длинные пароли, причём разные на разных ресурсах, пока ещё могут чувствовать себя в безопасности.


Нравится пост? Жми: