SKY-net

Программист по имени Майк Перри обнаружил, что защищенные подключения HTTPS, используемые при доступе к банковским счетам и другим услугам сквозь Интернет, не являются настолько безопасными, какими их принято считать.

Каждый раз, когда пользователь вводит персональные данные для получения доступа к своей учетной записи, эта секретная информация в виде cookie-файла передается по безопасному каналу. Однако Перри обнаружил, что изготовители сайтов не могут отделить защищенные элементы cookies от незащищенных и, используя достаточно несложную методику, злоумышленник может обмануть браузер и добиться передачи cookies-файлов в рамках обычного http-соединения. Приложение CookieMonster, написанное на языке Python, позволяет воспользоваться обнаруженной уязвимостью любому желающему.

Разработчик CookieMonster свою программу ограниченному числу экспертов в области информационной безопасности, однако в недалеком будущем собирается выложить его в открытый доступ.

www.securitylab.ru

Опубликовано 15.09.2008 15:07 и размещено в рубрике Безопасность. Вы можете следить за комментариями, подписавшись на RSS 2.0 ленту этого сообщения. Комментирование закрыто.

публикации сходной тематики

• Google удалит cookies
• Ruby on Rails 2.0 — новая версия фреймворка
• Google будет автоматически удалять cookie-файлы
• Один из крупнейших поисковиков создал переключатель приватности
• Разработчики Adobe Flash Player усиливают безопасность своего продукта