Дослідники з безпеки знаходять ще один витік у HTTPS, і це не буде легко виправляти - Обчислення - 2019

Anonim

Нова атака має потенціал, щоб викрасти все, починаючи від адрес електронної пошти, до номерів соціального захисту, і експерти з безпеки виявили, що він працює вільно. Він працює, маніпулюючи тим, як відповіді HTTPS доставляються через протокол керування передаванням (TCP), дозволяючи недобросовісним суб'єктам розшифрувати приховану інформацію, щоб витягувати персональні дані на цільових користувачів.

Експлойт відомий під назвою HEIST, який вільно говорить про те, що HTTP-шифрована інформація може бути викрадена через TCP-Windows (як і для Ars), і це особливо небезпечно, тому що це здатне і просте. Коли веб-користувач стикається з шкідливим кодуванням на веб-сторінці, він може запитати на декілька сторінок, вимірюючи розміри даних, що передаються, коли надходить відповідь.

Незважаючи на те, що ці дані захищені протоколом HTTPS, використовуючи застарілі експлойти, недобросовісні актори можуть розшифровувати дані в цих пакунках і, таким чином, виявити цілком персональні дані про осіб, які зазнали впливу.

На щастя, техніка була розроблена дослідниками безпеки в університеті Левена, Бельгія, а не чорними капелюхами. Ось чому ми чуємо про це, перш ніж воно буде використано для вторгнень конфіденційності в дику природу. Дослідники, які виявили експлойт, Ван Гетім і Маті Ванхоф, раніше повідомляли про це як для Microsoft, так і для Google, але ще вчора довели свою життєздатність, звернувшись до небезпечного коду для оголошення New York Times.

Пари вважають, що в правильних руках помилка безпеки може вплинути на багато веб-сайтів і на розширення багатьох, багатьох користувачів.

На жаль, в даний час правильного виправлення насправді не існує. Кінцеві користувачі можуть відключити файли cookie, які майже не дають можливості дешифрувати дані, які він надсилає, але це також призведе до знищення функцій на багатьох сайтах.

Розглядаючи HEIST є лише засобом для завершення, і експлойти, які дозволяють розшифровувати дані HTTPS протягом багатьох років, це не схоже на отвір безпеки, яке скоро буде виправлено. Дослідники з питань безпеки також не сподіваються.

На жаль, це означає, що ми все лишаємо коливаючись вітром, як найкраще захистити себе. Єдина позитивна річ у тому, що, оскільки ми повинні наткнутися на шкідливий код, щоб стати уразливими, дотримуючись надійних веб-сайтів, які навряд чи зможуть розмістити його, це найкращий спосіб захистити себе, коротко відключати кукі-файли в будь-якому місці та стінінг з Інтернету світ