ads
ads
ads
ads
ads
МЕНЮ:
Главная Сотовая связь Софт Веб-мастеру Графика Железо Portable Игры Интернет Чудеса Науки Apache Delphi Drupal Flash Html Юмор Каталог ноутбуков FAQ
загрузка...


О железках:
Xiaomi выпустила смартфон Mi Mix 2 Starck Edition
OnePlus 5T стал самым быстрым смартфоном в мире
Sony Xperia ZG Compact появился в бенчмарке с чипом Snapdragon 810 и 2 ГБ ОЗУ
Little Pepper S11 оказался жалкой пародией iPhone X
Galaxy S9 получит 3-слойную камеру, способную снимать со скоростью более 1000 к/с
Топ новостей
Oppo R11s получил более 300 тыс регистраций в первые 24 ...
Oppo R11s получил более 300 тыс регистраций в первые 24 ...


Приложение Radarius «разжигает искру» между пользовател ...
Приложение Radarius «разжигает искру» между пользовател ...


Sony представила смартфоны среднего класса Xperia R1 и  ...
Sony представила смартфоны среднего класса Xperia R1 и ...


Как отследить предзаказанный iPhone X
Как отследить предзаказанный iPhone X


Открылись предзаказы на юбилейный iPhone X
Открылись предзаказы на юбилейный iPhone X


Microsoft выпустит складной девайс Andromeda
Microsoft выпустит складной девайс Andromeda


Дебютировал смартфон среднего класса HTC U11 Life
Дебютировал смартфон среднего класса HTC U11 Life


Названа дата выхода глобальной стабильной Xiaomi MIUI 9
Названа дата выхода глобальной стабильной Xiaomi MIUI 9


BLU Vivo 8L с 20-Мп селфи-камерой представлен официальн ...
BLU Vivo 8L с 20-Мп селфи-камерой представлен официальн ...


Представлен красный Xiaomi Mi 5X и черный Mi Max 2
Представлен красный Xiaomi Mi 5X и черный Mi Max 2


О софте:
"Лунная деревня" приобретает очертания
BASSLET — гаджет любителей клубов
Хакеры способны взломать кардиостимуляторы
Новосибирские физики построят коллайдер
Китай изучит гравитационные волны


Age Of Comp » Чудеса Науки » Новая атака на HTTPS позволяет получать информацию о переданных паролях

Новая атака на HTTPS позволяет получать информацию о переданных паролях

Новая атака на HTTPS позволяет получать информацию о переданных паролях

Исследователь в области компьютерной безопасности из Нидерландов, Гвидо Вранкен [Guido Vranken] обнаружил новый метод атаки на зашифрованный по TLS/SSL трафик. В теории он позволяет извлекать определённую информацию о передаваемых по протоколу HTTPS данных. Эту информацию затем можно использовать для повышения эффективности взлома.

Атака, названная исследователем "HTTPS Bicycle Attack" (велосипедная атака) позволяет определить длину некоторых данных, передаваемых в зашифрованном виде: длина заголовка куков, длина паролей, передаваемых методом POST, GPS-координаты, адресов IPv4 и т.п. При этом анализу поддаётся даже трафик, оставшийся в логах.

Правда, чтобы извлечь информацию о длине полей, необходимо заранее знать длину некоторых из передаваемых данных. Кроме того, атака работает только при использовании потокового шифра.

Вычтя из длины заголовка аутентификации длину логина, URL-адреса, где авторизуется клиент, и другую вспомогательную информацию, атакующий может получить длину пароля, после чего атака методом подбора станет немного более эффективной.

В качестве рекомендаций для администраторов ресурсов Вранкен советует отключить потоковое шифрование, всегда использовать последнюю версию TLS (пока это 1.2) и маскировать истинную длину самых чувствительных данных, дополняя их символами, которые потом будут отброшены.

Теоретическая возможность такой атаки не является поводом для паники – для её успеха необходимо выполнение многих условий. И, конечно, пользователи, использующие нестандартные случайные и достаточно длинные пароли, причём разные на разных ресурсах, пока ещё могут чувствовать себя в безопасности.


Нравится пост? Жми: