ads
ads
ads
ads
ads
МЕНЮ:
Главная Сотовая связь Софт Веб-мастеру Графика Железо Portable Игры Интернет Чудеса Науки Apache Delphi Drupal Flash Html Юмор Каталог ноутбуков FAQ
загрузка...


О железках:
Xiaomi выпустила бюджетный 32-дюймовый телевизор Mi TV 4S
Panasonic представила бюджетный полноэкранный смартфон P101
Представлены ноутбуки Lenovo Air 2018 и Lenovo 7000
Топ-10 смартфонов в AnTuTu в марте
Поступило опровержение мифа о чиповке iPhone от неавторизованных ремонтов
Топ новостей
LG представила бюджетный смартфон Zone 4
LG представила бюджетный смартфон Zone 4


Футуристический концепт флагмана Nokia X
Футуристический концепт флагмана Nokia X


Xiaomi представила зеркало заднего вида Mi Smart Rearvi ...
Xiaomi представила зеркало заднего вида Mi Smart Rearvi ...


Битва смартфонов: Honor 9 Lite vs Xiaomi Mi A1
Битва смартфонов: Honor 9 Lite vs Xiaomi Mi A1


Топовая версия Honor 7C поступает в продажу
Топовая версия Honor 7C поступает в продажу


Alienware представила игровые ноутбуки 15R4 и 17R5
Alienware представила игровые ноутбуки 15R4 и 17R5


Устройства Cisco массово поражаются хакерами
Устройства Cisco массово поражаются хакерами


Насколько безопасны ваши данные, когда они хранятся в о ...
Насколько безопасны ваши данные, когда они хранятся в о ...


Samsung Galaxy S9 загружает данные со скоростью более 1 ...
Samsung Galaxy S9 загружает данные со скоростью более 1 ...


Xiaomi Mi 7 Plus получит сканер отпечатков в дисплее
Xiaomi Mi 7 Plus получит сканер отпечатков в дисплее


О софте:
"Лунная деревня" приобретает очертания
BASSLET — гаджет любителей клубов
Хакеры способны взломать кардиостимуляторы
Новосибирские физики построят коллайдер
Китай изучит гравитационные волны


Age Of Comp » Чудеса Науки » Новая атака на HTTPS позволяет получать информацию о переданных паролях

Новая атака на HTTPS позволяет получать информацию о переданных паролях

Новая атака на HTTPS позволяет получать информацию о переданных паролях

Исследователь в области компьютерной безопасности из Нидерландов, Гвидо Вранкен [Guido Vranken] обнаружил новый метод атаки на зашифрованный по TLS/SSL трафик. В теории он позволяет извлекать определённую информацию о передаваемых по протоколу HTTPS данных. Эту информацию затем можно использовать для повышения эффективности взлома.

Атака, названная исследователем "HTTPS Bicycle Attack" (велосипедная атака) позволяет определить длину некоторых данных, передаваемых в зашифрованном виде: длина заголовка куков, длина паролей, передаваемых методом POST, GPS-координаты, адресов IPv4 и т.п. При этом анализу поддаётся даже трафик, оставшийся в логах.

Правда, чтобы извлечь информацию о длине полей, необходимо заранее знать длину некоторых из передаваемых данных. Кроме того, атака работает только при использовании потокового шифра.

Вычтя из длины заголовка аутентификации длину логина, URL-адреса, где авторизуется клиент, и другую вспомогательную информацию, атакующий может получить длину пароля, после чего атака методом подбора станет немного более эффективной.

В качестве рекомендаций для администраторов ресурсов Вранкен советует отключить потоковое шифрование, всегда использовать последнюю версию TLS (пока это 1.2) и маскировать истинную длину самых чувствительных данных, дополняя их символами, которые потом будут отброшены.

Теоретическая возможность такой атаки не является поводом для паники – для её успеха необходимо выполнение многих условий. И, конечно, пользователи, использующие нестандартные случайные и достаточно длинные пароли, причём разные на разных ресурсах, пока ещё могут чувствовать себя в безопасности.


Нравится пост? Жми: