研究人員演示劫持HTTPS會話

jopen 12年前發布 | 8K 次閱讀 漏洞

研究人員發現了一個安全漏洞可以讓他們劫持 HTTPS 加密會話。HTTPS 常被銀行和電子商務網站用于防止嗅探敏感交易。當攻擊者解密了加密會話 cookie 后,他就獲得了用戶帳號的訪問權限。

漏洞存在于設計減少網絡擁堵和頁面載入時間的數據壓縮協議 TLS 壓縮SPDY 中(SSL/TLS 協議可選支持數據壓縮),CRIME(代表 Compression Ratio Info-leak Made Easy)只在瀏覽器和服務器同時支持 TLS 壓縮或 SPDY 時才能有效工作,Google 的 Chrome 剛剛移除了 TLS 壓縮,原因可能與之有關。密碼學教授 Matthew Green 說,CRIME 攻擊是國家資助的攻擊,類似伊朗或中國尋找不同政見者的電郵帳號。

來自: Solidot
 本文由用戶 jopen 自行上傳分享,僅供網友學習交流。所有權歸原作者,若您的權利被侵害,請聯系管理員。
 轉載本站原創文章,請注明出處,并保留原始鏈接、圖片水印。
 本站是一個以用戶分享為主的開源技術平臺,歡迎各類分享!
  本文地址:http://www.baiduhome.net/news/view/10dbcc4