Hlavní navigace

Nový útok na HTTPS HEIST nepotřebuje MITM

Sdílet

Jan Fikar 4. 8. 2016

Nový útok na HTTPS HEIST (HTTP Encrypted Information can be Stolen Through TCP-Windows) byl ve středu představen na bezpečnostní konferenci Black Hat v Las Vegas. Nový útok nepotřebuje MITM a dokonce ani odposlouchávat komunikaci. Délku šifrované odpovědi zjistí škodlivý JavaScript přímo v prohlížeči přes nové API Resource Timing a Fetch

Při známé délce šifrované odpovědi je možné použít starší HTTPS útoky jako BICYCLE, BREACH nebo CRIME a zjistit například e-mailové adresy, hesla, GPS souřadnice, rodná čísla a jiné krátké šifrované údaje. HEIST dokáže napadnout také HTTP/2.

(zdroj: arstechnica)

Našli jste v článku chybu?
  • Aktualita je stará, nové názory již nelze přidávat.