Hlavní navigace

Nový útok na HTTPS HEIST nepotřebuje MITM

Jan Fikar

Nový útok na HTTPS HEIST (HTTP Encrypted Information can be Stolen Through TCP-Windows) byl ve středu představen na bezpečnostní konferenci Black Hat v Las Vegas. Nový útok nepotřebuje MITM a dokonce ani odposlouchávat komunikaci. Délku šifrované odpovědi zjistí škodlivý JavaScript přímo v prohlížeči přes nové API Resource Timing a Fetch

Při známé délce šifrované odpovědi je možné použít starší HTTPS útoky jako BICYCLE, BREACH nebo CRIME a zjistit například e-mailové adresy, hesla, GPS souřadnice, rodná čísla a jiné krátké šifrované údaje. HEIST dokáže napadnout také HTTP/2.

(zdroj: arstechnica)

Našli jste v článku chybu?