Показано с 1 по 1 из 1.

Специалисты CERT обнаружили проблему с cookie во всех современных браузерах

  1. #1
    NewsMaker Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    22.03.2011
    Сообщений
    7,784
    Вес репутации
    140

    Специалисты CERT обнаружили проблему с cookie во всех современных браузерах



    Команда ученых из Computer Emergency Response Team (CERT) опубликовала отчет, согласно которому, реализация хранения и использования cookie-файлов практически во всех современных браузерах ставит безопасность системы под вопрос.

    Ученые рассказали, что производители примеряют стандарт RFC 6265, отвечающий за браузерные cookies, неверно. Проблема заключается в следующем. Полученные через обычный HTTP-запрос cookie-файлы могут отмечаться как «защищенные», то есть имеют secure flag. По идее, такие cookie должны передаваться только через HTTPS-соединение, пишет xakep.ru.

    Однако исследователи выявили, что многие современные браузеры используют любые cookie-файлы в ходе HTTPS-соединения, не проверяя при этом их источник (так называемый cookie forcing). В том числе, принимаются и «защищенные» cookie, подложенные в систему ранее. Это позволяет атакующему осуществить man-in-the-middle атаку, внедрив через HTTP-запрос фальшивые cookie, которые будут маскироваться под cookie-файлы других, легитимных сайтов, перезаписывая настоящие. Такую подмену будет сложно заметить даже тем, кто регулярно проверяет списки cookie в браузере и ищет в них подозрительное. Далее, при помощи такой подделки, можно легко перехватить приватную информацию пользователя, в ходе HTTPS-сессии.

    Впервые о проблеме рассказали еще в августе 2015 года, на конференции USENIX 24, так что разработчики браузеров уже успели подготовиться и выпустить «заплатки». Проблеме были подвержены буквально все браузеры: Safari, Firefox, Chrome, Internet Explorer, Edge, Opera и Vivaldi. От бага избавлены лишь самые последние их версии.

    Специалисты CERT также рекомендуют вебмастерам использовать HSTS (HTTP Strict Transport Security) для доменов верхнего уровня.

    http://www.anti-malware.ru/news/2015-09-30/16945

  2. Реклама
     

Похожие темы

  1. Российские специалисты обнаружили новый бэкдор под Mac OS
    От CyberWriter в разделе Новости компьютерной безопасности
    Ответов: 0
    Последнее сообщение: 23.06.2011, 12:10
  2. ИТ-специалисты обнаружили новый тип DDoS-атак
    От Ilya Shabanov в разделе Новости компьютерной безопасности
    Ответов: 0
    Последнее сообщение: 20.01.2011, 14:10
  3. Специалисты Symantec обнаружили опасный троян
    От olejah в разделе Новости компьютерной безопасности
    Ответов: 1
    Последнее сообщение: 14.07.2010, 20:09
  4. Специалисты Sophos обнаружили вирус в фотокамерах Olympus
    От ALEX(XX) в разделе Новости компьютерной безопасности
    Ответов: 0
    Последнее сообщение: 09.06.2010, 17:40
  5. Специалисты BitDefender обнаружили новый спам-ботнет
    От ALEX(XX) в разделе Новости компьютерной безопасности
    Ответов: 0
    Последнее сообщение: 07.02.2008, 15:43

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01340 seconds with 18 queries