Как стало известно на проходящей сейчас в Лас-Вегасе конференции Black Hat, протокол HTTPS имеет серьезную уязвимость, которая позволяет во многих случаях обойти криптографическую защиту всего за 30 секунд. Эксплойт BREACH дает возможность получать адреса электронной почты и некоторые типы пользовательских данных из зашифрованных страниц.
Атака позволяет декодировать защищенные данные, которые системы онлайн-банкинга и платформы электронной коммерции передают в ответ за запросы клиентов по протоколам TLS (Transport Layer Protocol) и SSL (Secure Sockets Layer). Атака позволяет вскрывать определенные типы данных, такие как номера социального страхования, электронные адреса, некоторые типы электронных ключей, а также ссылки на сброс паролей. Работает атака против всех версий TLS и SSL, независимо от того, какой именно алгоритм или шифр используется.
Уязвимость, при этом, требует, чтобы атакующий мог пассивно мониторить трафик между пользователем и сайтом. Кроме того, необходимо, чтобы жертва нажала на вредоносную ссылку.
Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365
+11 голос |