Hlavní navigace

HTTPS ve spojení s kompresí bude vždy potenciálně zranitelné

Marek Janouš 13. 9. 2012

HTTPS je zranitelné, jestliže je nasazeno spolu s kompresí, jako jsou kompresní postupy obsažené v protokolu TLS, anebo SPDY („speedy“). V bezpečnostní komunitě se ví už řadu let, že komprese naznačuje vlastnosti šifrovaných dat (pokud lze porovnat komprimovaná data s nekomprimovanými), a toho lze hrubou silou využít.

HTTPS je zranitelné, jestliže je nasazeno spolu s kompresí, jako jsou kompresní postupy obsažené v protokolu TLS, anebo SPDY („speedy“). V bezpečnostní komunitě se ví už řadu let, že komprese naznačuje vlastnosti šifrovaných dat (pokud lze porovnat komprimovaná data s nekomprimovanými), a toho lze hrubou silou využít.

Útok nazvaný CRIME („Compression Ratio Info‑leak Made Easy“) předvedou Juliano Rizzo a Thai Duong na bezpečnostní konferenci ekoparty konané mezi 19. a 21. zářím.

Útok napadá ověřovací cookie, jež se posílá na začátku každého HTTP požadavku při spojení skrze SSL, a to hrubou silou prostřednictvím javascriptu na straně klienta — odhalení cookie prý trvá jen několik minut.

Útoku CRIME již nepodlehnou nejnovější verze Google Chrome nebo Mozilla Firefox, a nepodlehne ani Internet Explorer (ten proto, že využívané komprese nepodporuje). Zranitelné mohou být některé prohlížeče mobilní, nebo samostatné mobilní aplikace, popřípadě prohlížeče alternativní, pokud podporují kompresi a ještě nevydaly záplatu.

Útok lze provést, jen pokud se komprese skutečně uplatňuje při výměně dat se serverem. Služby Github, Dropbox a Stripe (předvedené ve videu níže) všechny na svých serverech mezitím kompresi zakázaly — po upozornění od objevitelů/autorů CRIME.

Zdroj: Ars Technica

Našli jste v článku chybu?

13. 9. 2012 12:51

Chef (neregistrovaný)

Tihle chlapíci předváděli na akci Ekoparty zranitelnost SSL komunikace i loni v září. http://www.theregister.co.uk/2011/09/19/beast_exploits_paypal_ssl/

Vitalia.cz: To není kašel! Správná diagnóza zachrání život

To není kašel! Správná diagnóza zachrání život

DigiZone.cz: Mňam TV splnila slib a odešla z DVB-T

Mňam TV splnila slib a odešla z DVB-T

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Vitalia.cz: Pravda o přibírání na zimu

Pravda o přibírání na zimu

Měšec.cz: Kdy vám stát dá na stěhování 50 000 Kč?

Kdy vám stát dá na stěhování 50 000 Kč?

DigiZone.cz: Milan Kruml: procházka TV historií

Milan Kruml: procházka TV historií

Měšec.cz: Platby do zahraničí: pozor na tučné poplatky

Platby do zahraničí: pozor na tučné poplatky

120na80.cz: Rovnátka, která nejsou vidět

Rovnátka, která nejsou vidět

Měšec.cz: Air Bank zruší TOP3 garanci a zdražuje kurzy

Air Bank zruší TOP3 garanci a zdražuje kurzy

Lupa.cz: UX přestává pro firmy být magie

UX přestává pro firmy být magie

Vitalia.cz: Manželka je bio, ale na sex moc není

Manželka je bio, ale na sex moc není

Podnikatel.cz: Změny v daních z příjmů u zaměstnávání

Změny v daních z příjmů u zaměstnávání

Vitalia.cz: Vláknina: Rozpustná, nebo nerozpustná?

Vláknina: Rozpustná, nebo nerozpustná?

120na80.cz: Bojíte se encefalitidy?

Bojíte se encefalitidy?

Vitalia.cz: Tesco: Chudá rodina si koupí levné polské kuře

Tesco: Chudá rodina si koupí levné polské kuře

Podnikatel.cz: EET zvládneme, budou horší zákony

EET zvládneme, budou horší zákony

Měšec.cz: Vklad na cizí účet je draze zpoplatněn (přehled)

Vklad na cizí účet je draze zpoplatněn (přehled)

Podnikatel.cz: Zavře krám u #EET Malá pokladna a Teeta?

Zavře krám u #EET Malá pokladna a Teeta?

Root.cz: Telegram spustil anonymní blog Telegraph

Telegram spustil anonymní blog Telegraph

Podnikatel.cz: K EET. Štamgast už peníze na stole nenechá

K EET. Štamgast už peníze na stole nenechá