PDA

Просмотр полной версии : Новая уязвимость в протоколе https

Turanchocks_
09.01.2016, 23:34
Сабж.

http://www.theregister.co.uk/2016/01/06/https_bicycle/

https://xakep.ru/2016/01/07/https-bicycle/
altblitz
10.01.2016, 00:06
> All a user needs to do is have a packet capture of requests to a known site, including an authentication (login) request containing an already known username and an unknown plain-text password.

Одно из требований проведения атаки - знание логина/user name.

> have a packet capture of requests to a known site

Перехват пакетов (https) к известному сайту. Те, необходимо чтобы пользователь начал подключение к известному сайту через fishing site, с которого и будут перехватываться пакеты.

> If an attacker can determine the user's browser and how that browser would send requests to the site

Если аттакер сможет определить используемый пользователем браузер и как этот браузер посылает запросы к известному сайту.

http://blogs.websense.com/security-...ning-passwords-tls-encrypted-browser-requests (http://blogs.websense.com/security-labs/https-bicycle-attack-obtaining-passwords-tls-encrypted-browser-requests)