Обнаружен способ обхода защиты HTTPS

Опубликовано: 9 августа 2016 г., вторник

Исследователи обнаружили способ преодоления защиты HTTPS–соединения, который потенциально может быть использован для организации атак.

Одним из главных достоинств HTTPS–соединения является то, что третьим сторонам, пытающимся отслеживать активность пользователя, недоступны URL–адреса посещаемых им веб–страниц. Однако использование особенностей технологии автоматической настройки прокси (WPAD) позволяет это сделать.

Наиболее вероятным сценарием атаки является создание для нее специальных открытых wi–fi сетей. Даже зная о небезопасности подключения к публичным wi–fi сетям, пользователи полагают, что HTTPS–соединение обеспечивает надежную защиту. Но это не так. При подключении пользователя к подобной сети ее оператор в состоянии направлять в ответ на запрос браузера вредоносный файл автоматической конфигурации (PAC). Это происходит еще до установки HTTPS–соединения, таким образом, в дальнейшем оператор получает информацию обо всех URL–адресах, посещаемых в ходе веб–сессии.

Атакующий не в состоянии перехватывать или изменять сам зашифрованный веб–трафик, но и доступ к информации об URL–адресах несет в себе серьезную угрозу. Так, многие популярные облачные сервисы (например, Google Docs или Dropbox) для аутентификации пользователей направляют им цифровые токены, включенные непосредственно в URL–адрес. Ту же практику задействуют и многие механизмы замены паролей. Очевидно, что доступ злоумышленников к URL–адресам в этих случаях чреват самыми серьезными неприятностями. Опасность угрожает пользователям практически всех существующих браузеров и операционных систем Mac, Windows и Linux.

Подробная информация о механизмах организации подобных атак будет представлена специалистами компании SafeBreach на следующей неделе в ходе конференции Black Hat security в Лас–Вегасе.

Источник: netoscope.ru
Копировать, распространять, публиковать информацию портала News.lt без письменного согласия редакции запрещено.

Комментарии Facebook

Новый комментарий


Captcha

статьи по схожей тематике

Выпущен концептуальный браузер Opera Neon для Mac и Windows

Opera Neon воплощает идеи о том, каким должен стать браузер для компьютеров. дальше »

Google запустил русскоязычный блог для вебмастеров

Корпорация Google сообщила о запуске официальной русскоязычной версии блога для вебмастеров. Как ожидается, за его информационное наполнение будут отвечать специалисты по улучшению качества работы российской версии поисковой системы Google. дальше »

В YouTube в тестовом режиме заработал раздел "Срочные новости"

Видеохостинг YouTube начал демонстрировать в тестовом режиме специальный раздел "Срочные новости", который пока доступен для части пользователей, имеющих зарегистрированный аккаунт в Google. дальше »

Служба здравоохранения Шотландии подверглась новой кибератаке

Отделения национальной службы здравоохранения (NHS) в Шотландии пострадали от кибератаки всего через несколько месяцев после массового нарушения системы информационной безопасности. дальше »

Google платит Apple миллиарды за то, чтобы ее поисковик был выбором по умолчанию

Так как смартфоны iPhone и планшеты iPad - самые популярные мобильные гаджеты, использование на них программ по умолчанию гарантирует их всеобщее признание. дальше »

Google купила белорусский стартап AlMatter

Стартап AlMatter, разработанный белорусами, присоединился к Google, сообщил основатель проекта Юрий Мельничек. дальше »

Браузер Samsung стал доступен на всех новых Android-смартфонах

Компания Samsung сообщила о выпуске новой версии её собственного браузера Samsung Internet, который можно использовать на любом новом Android-смартфоне. дальше »

Коста-Рика вводит налог для поставщиков ОТТ

На волне обсуждения введения налогов для фирм, предлагающих OTT в Латинской Америке, Коста-Рика объявила о намерении ввести 15-процентный налог на сервисы "видео по запросу" (VOD) и сервисы онлайн-видео. дальше »

Обнаружен механизм утечки данных через USB-порты

Исследователи Школы компьютерных исследований Университета Аделаиды (Австралия) выяснили, что специально модифицированные USB-устройства могут применяться для похищения конфиденциальных данных с компьютеров. дальше »

"Скрытые шпионы" пробрались в Google Play Store

Исследователи компании Lookout обнаружили в Google Play Store приложение Soniac, которое, маскируясь под мессенджер, является в действительности сложным шпионским ПО. дальше »