Показать сообщение отдельно

Re: IT-безопасность-свежие новости.
Старый 29.09.2015, 08:21   #946
☭☭☭☭☭
 
Аватар для kroxus

 
Регистрация: 23.05.2012
Адрес: MsK
Сообщений: 10 601

kroxus вне форума

IT-безопасность-свежие новости.


Cookie-файлы более уязвимы, чем вы думали

Cookie-файлы более уязвимы, чем вы думали, [Ссылки могут видеть только зарегистрированные пользователи. ]. CERT (Cyber Emergency Response Team, группа экстренного реагирования на кибератаки), поддерживаемая DHS (Department of Homeland Security, министерство внутренней безопасности США) и функционирующая на базе института разработки программного обеспечения Университета Карнеги — Меллон, выпустила оповещение, в котором предупреждает пользователей о продолжающемся господстве целого класса уязвимостей cookie-файлов, которые подвергают риску персональные и даже финансовые данные пользователей.

Оповещение было вдохновлено отчетом об исследовании [Ссылки могут видеть только зарегистрированные пользователи. ], представленным в прошлом месяце на конференции USENIX. Авторы документа углубились в атаку внедрением cookie-файла, которая может быть проведена даже в защищенных HTTPS-соединениях. Они описывают уязвимости и слабые места реализации спецификации cookie-файлов RFC 6265.

Атака, описанная на USENIX, требует нахождения в сети на позиции «человека посередине», что дает возможность внедрять в HTTP-сеанс cookie-файлы, которые также будут передаваться по HTTPS-соединениям. Исследователи заявили, что эти уязвимости присутствуют в ряде высоконагруженных сайтов (по именам они назвали Google и Bank of America), и добавили, что последствия могут включать утечку персональных данных, угоны учетных записей, а также финансовые потери.

В документе исследователи отмечают, что доменная изоляция cookie недостаточна и что разные, но связанные домены могут иметь общий набор cookie. Выдержка из отчета:«Cookie может иметь флаг «secure», обозначающий, что cookie должен передаваться только по HTTPS, что усиливает его конфиденциальность во время атаки «человек посередине». Тем не менее нет подобной защиты целостности от того же противника: HTTP-запросу позволено устанавливать защищенное cookie для своего домена. Злоумышленник на связанном домене может разрушить целостность cookie, используя общий cookie». Даже политика одного источника, которая должна разграничивать содержимое разных доменов, не является эффективной защитой от таких атак, так как злоумышленник может вынудить браузер жертвы посетить вредоносный сайт.

Исследователи предложили ряд возможных защитных мер, главные из которых — внедрение HSTS (HTTP Strict Transport Security) и изменения, которые должны произвести производители браузеров. Документ также описывает пример браузерного расширения, которое лучше изолирует cookie-файлы между HTTP- и HTTPS-доменами.

[Ссылки могут видеть только зарегистрированные пользователи. ]
__________________
пусть всегда будет солнце
  Ответить с цитированием
 
Яндекс.Метрика