HTTPS (HyperText Transfer Protocol Secure) is een uitbreiding op het HTTP-protocol met als doel een veilige uitwisseling van gegevens. Bij gebruik van HTTPS worden de gegevens versleuteld, waardoor het voor een buitenstaander, bijvoorbeeld iemand die afluistert, onmogelijk zou moeten zijn om te weten welke gegevens verstuurd worden.
Een HTTPS-verbinding is eigenlijk een normale HTTP-verbinding bovenop een SSL-Verbinding. De SSL-verbinding versleutelt hierbij het HTTP-verkeer, waardoor het dataverkeer, als het onderschept wordt, niet uit te lezen valt zonder het encryptie-algoritme te kraken.
Twee onderzoekers beweren nu een methode ontwikkeld te hebben dat de session cookies van HTTPS-verbindingen kan ontsleutelen. Websites maken gebruik van session cookies om de geautoriseerde gebruikers te onthouden. Wanneer een hacker zich toegang kan verschaffen tot de gebruikers session cookie terwijl deze gebruiker nog steeds geautoriseerd is door de website, kan de hacker toegang krijgen tot het account van de gebruiker op die website.
HTTPS verhindert dit type session hijacking door de session cookies te versleutelen tijdens de overdracht en wanneer het opgeslagen is in de browser. Echter, CRIME, zoals de beveiligingsonderzoekers Juliano Rizzo en Thai Duong deze hack-methode genoemd hebben, zou deze kunnen ontsleutelen.
De hack maakt gebruik van een gat in een specifieke feature van het TLS (Transport Layer Security) cryptografisch protocol en het SSL (Secure Sockets Layer) protocol.
De onderzoekers weigeren intussen aan te geven welk veiligheidsgat gebruikt wordt, de presentatie zal eind deze maand zijn op de Ekoparty security conference in Buenos Aires, Argentinië.
Bron
Twee onderzoekers beweren nu een methode ontwikkeld te hebben dat de session cookies van HTTPS-verbindingen kan ontsleutelen. Websites maken gebruik van session cookies om de geautoriseerde gebruikers te onthouden. Wanneer een hacker zich toegang kan verschaffen tot de gebruikers session cookie terwijl deze gebruiker nog steeds geautoriseerd is door de website, kan de hacker toegang krijgen tot het account van de gebruiker op die website.
HTTPS verhindert dit type session hijacking door de session cookies te versleutelen tijdens de overdracht en wanneer het opgeslagen is in de browser. Echter, CRIME, zoals de beveiligingsonderzoekers Juliano Rizzo en Thai Duong deze hack-methode genoemd hebben, zou deze kunnen ontsleutelen.
De hack maakt gebruik van een gat in een specifieke feature van het TLS (Transport Layer Security) cryptografisch protocol en het SSL (Secure Sockets Layer) protocol.
De onderzoekers weigeren intussen aan te geven welk veiligheidsgat gebruikt wordt, de presentatie zal eind deze maand zijn op de Ekoparty security conference in Buenos Aires, Argentinië.
Bron
