HTTPS Bicycle: A new one attack in the supposedly secure HTTPS communication protocol raises questions about the durability of passwords, security researchers warn.
A new attack named HTTPS Bicycle can lead to the disclosure of a person's private and secret data, such as passwords and GPS coordinates, exposed by HTTPS Traffic Packet Capture.
The attack discovered by security researcher Guido Vranken puts serious topics back on the table of security experts: encryption, control identity, privacy and more specifically security codes.
Συνήθως υποτίθεται ότι η κυκλοφορία HTTP που προστατεύεται με TLS δεν αποκαλύπτει τα ακριβή μεγέθη των τμημάτων της, όπως το μήκος του cookie header, ή το ωφέλιμο φορτίο μιας αίτησης POST σε HTTP που μπορεί να περιέχει διαπιστευτήρια μεταβλητού μήκους, όπως κωδικούς πρόσβασης. Σε αυτή την εργασία δείχνω ότι τα HTTP headers plaintext included in each request can be exploited to reveal the length of specific components (such as passwords) in particular requests (such as authentication to a web application).
Attack exploits the properties of stream-oriented cipher suites based on Galois / Counter Mode as the exact size of plain text that can be known to a man-in-the-middle.
Carl Leonard, the company's chief security analyst Rayston | Websense, commented:
"Οι τελικοί χρήστες μπορούν να περιμένουν ότι οι κωδικοί τους παραμένουν απόρρητοι, όταν αλληλεπιδρούν με μια ιστοσελίδα που χρησιμοποιεί κρυπτογράφηση, αλλά η επίθεση HTTPS Bicycle δείχνει ότι αυτό δεν συμβαίνει. Η γνώση είναι η δύναμη του εισβολέα, και ακόμη και μικρά κομμάτια πληροφοριών μπορεί να οδηγήσουν σε μια μεταγενέστερη, πιο εκλεπτυσμένη επίθεση."
Leonard continued:
"Η μη ανιχνεύσιμη φύση αυτής της επίθεσης σημαίνει ότι είναι ζωτικής σημασίας για τους webmasters να εξετάζουν τη χρήση ισχυρών κωδικών πρόσβασης και ελέγχου ταυτότητας δύο παραγόντων για την εξάλειψη του μοναδικού σημείου αποτυχίας. Τέλος οι χρήστες πρέπει να διασφαλίζουν τους κωδικούς πρόσβασής τους, ώστε να είναι αρκετά ισχυροί, ενώ οι διαχειριστές μιας ιστοσελίδας και οι προγραμματιστές μιας διαδικτυακής πλατφόρμας θα πρέπει να διασφαλίσουν ότι είναι πλήρως ενημερωμένοι και ότι λαμβάνονται όλα τα μέτρα για να αποτρέψουν αυτήν την επίθεση στο μέλλον."
More about the attack can be read from the link below