ads
ads
ads
ads
ads
МЕНЮ:
Главная Сотовая связь Софт Веб-мастеру Графика Железо Portable Игры Интернет Чудеса Науки Apache Delphi Drupal Flash Html Юмор Каталог ноутбуков FAQ
загрузка...


О железках:
Завтра Xiaomi порадует своих поклонников
Nokia 7 Plus получил звание «Смартфон года» на EISA Awards 2018
Motorola P30 с процессором Snapdragon 636 и ZUI 4.0 представлен официально
Обновленный Vivo Y81 получил сканер отпечатков пальцев
Официально: все смартфоны Nokia получат Android 9.0 Pie
Топ новостей
Революция смартфонов: почему появление App Store было в ...
Революция смартфонов: почему появление App Store было в ...


Как улучшить безопасность вашего Wi-Fi роутера
Как улучшить безопасность вашего Wi-Fi роутера


Honor Note 10 с огромным 6,95-дюймовым AMOLED дисплеем  ...
Honor Note 10 с огромным 6,95-дюймовым AMOLED дисплеем ...


LG выпустит смартфон V35 Signature Edition стоимостью $ ...
LG выпустит смартфон V35 Signature Edition стоимостью $ ...


У Xiaomi Mi Note 5 тоже будет прозрачная задняя крышка
У Xiaomi Mi Note 5 тоже будет прозрачная задняя крышка


Официально представлена новая операционная система Andr ...
Официально представлена новая операционная система Andr ...


Как удалить вредоносное ПО с вашего компьютера
Как удалить вредоносное ПО с вашего компьютера


Как использовать iCloud Keychain (связку ключей) на iPh ...
Как использовать iCloud Keychain (связку ключей) на iPh ...


Panasonic представила «умное» зарядное устройство, кото ...
Panasonic представила «умное» зарядное устройство, кото ...


Что такое WPA3? Более безопасный Wi-Fi?
Что такое WPA3? Более безопасный Wi-Fi?


О софте:
"Лунная деревня" приобретает очертания
BASSLET — гаджет любителей клубов
Хакеры способны взломать кардиостимуляторы
Новосибирские физики построят коллайдер
Китай изучит гравитационные волны


Age Of Comp » Чудеса Науки » Новая атака на HTTPS позволяет получать информацию о переданных паролях

Новая атака на HTTPS позволяет получать информацию о переданных паролях

Новая атака на HTTPS позволяет получать информацию о переданных паролях

Исследователь в области компьютерной безопасности из Нидерландов, Гвидо Вранкен [Guido Vranken] обнаружил новый метод атаки на зашифрованный по TLS/SSL трафик. В теории он позволяет извлекать определённую информацию о передаваемых по протоколу HTTPS данных. Эту информацию затем можно использовать для повышения эффективности взлома.

Атака, названная исследователем "HTTPS Bicycle Attack" (велосипедная атака) позволяет определить длину некоторых данных, передаваемых в зашифрованном виде: длина заголовка куков, длина паролей, передаваемых методом POST, GPS-координаты, адресов IPv4 и т.п. При этом анализу поддаётся даже трафик, оставшийся в логах.

Правда, чтобы извлечь информацию о длине полей, необходимо заранее знать длину некоторых из передаваемых данных. Кроме того, атака работает только при использовании потокового шифра.

Вычтя из длины заголовка аутентификации длину логина, URL-адреса, где авторизуется клиент, и другую вспомогательную информацию, атакующий может получить длину пароля, после чего атака методом подбора станет немного более эффективной.

В качестве рекомендаций для администраторов ресурсов Вранкен советует отключить потоковое шифрование, всегда использовать последнюю версию TLS (пока это 1.2) и маскировать истинную длину самых чувствительных данных, дополняя их символами, которые потом будут отброшены.

Теоретическая возможность такой атаки не является поводом для паники – для её успеха необходимо выполнение многих условий. И, конечно, пользователи, использующие нестандартные случайные и достаточно длинные пароли, причём разные на разных ресурсах, пока ещё могут чувствовать себя в безопасности.


Нравится пост? Жми: