研究人员演示劫持HTTPS会话

jopen 12年前
   <div id="news_body">     <p> 研究人员<a href="/misc/goto?guid=4958524114736209978">发现了一个安全漏洞</a>可以让他们劫持 HTTPS 加密会话。HTTPS 常被银行和电子商务网站用于防止嗅探敏感交易。当攻击者解密了加密会话 cookie 后,他就获得了用户帐号的访问权限。</p>     <p> 漏洞存在于设计减少网络拥堵和页面载入时间的数据压缩协议 <a href="/misc/goto?guid=4958524114833373222">TLS 压缩</a>和 <a href="/misc/goto?guid=4958337806626018780">SPDY</a> 中(SSL/TLS 协议可选支持数据压缩),CRIME(代表 Compression Ratio Info-leak Made Easy)只在浏览器和服务器同时支持 TLS 压缩或 SPDY 时才能有效工作,Google 的 Chrome 刚刚<a href="/misc/goto?guid=4958524114946040020">移除了 TLS 压缩</a>,原因可能与之有关。密码学教授 Matthew Green 说,<a href="/misc/goto?guid=4958524115040071330">CRIME 攻击</a>是国家资助的攻击,类似伊朗或中国寻找不同政见者的电邮帐号。</p>     <div id="come_from">     来自:      <a id="link_source2" href="/misc/goto?guid=4958524115131998797" target="_blank">Solidot</a>     </div>    </div>