Разработан новый способ взлома HTTPS

Эксперты в области информационной безопасности безопасности Риццо и Дуонг заявили, что ими разработан новый метод расшифровки сессионных cookie в HTTPS-соединениях.

Пользователей, прошедших авторизацию, web-страницы запоминают, используя сессионные cookie. Если хакер получил доступ к временным файлам пользователя, то злоумышленник может получить полный контроль над его аккаунтом. Закодированное HTTPS соединение предотвращает внедрение в сессию, но исследователи безопасности утверждают, что разработали новый метод обхода защиты данного протокола.

На конференции по информационной безопасности в аргентине будет представлен новый разработанный метод CRIME.

Computer World сообщает, что CRIME использует брешь в функциях криптографических протоколов TLS и SSL, применяемые в HTTPS. Данная брешь распространяется на усовершенствованные версии криптографических протоколов. Чтобы взлом прошел успешно, код CRIME должен быть загружен в браузер пользователя. Это может быть сделано с помощью отправки фишингового сообщения, которое способно перенаправить на web-страницу хакеров. Чтобы код CRIME работал быстро, он использует JavaScript, но может работать и без помощи сторонних плагинов в браузере целевой системы.

В прошедшем году исследователями Риццо и Дуонг был представлен инструмент BEAST, позволяющий расшифровать содержимое HTTPS протокола. Он работал на старых версиях TLS и SSL и требовал, чтобы на браузере пользователя был установлен плагин Java.

Обезопасить компьютер от фишинговых атак, вирусов и прочего вредоносного ПО позволит бесплатный антивирус.

Рекомендуем с нашего ресурса качественный антивирус скачать бесплатно без регистрации и смс.