En la Black Hat que se ha celebrado en Las Vegas se ha hecho una demostración de BREACH (Browser Reconnaissance and Exfiltration via Adaptive Compression of Hypertext), una técnica que permite a los hackers capturar y descifrar una parte del tráfico cifrado en conexiones de tipo HTTPS.
Observando la longitud de las respuestas HTTPS comprimidas, un atacante puede llegar a descifrar texto sin codificar que se encuentre en el flujo HTTPS, pudiendo extraer así tokens y datos en menos de 30 segundos. En el siguiente vídeo tenéis un ejemplo de la vulnerabilidad y de como BREACH la aprovecha.
Los desarrolladores web tendrán por lo tanto que comprobar si sus páginas están afectadas y en caso afirmativo tomar algunas de las medidas recomendadas por los expertos, como por ejemplo usar algún cifrado intermedio de los datos.
Vía | Redes Zone Más información | CERT En Xataka On | ¿Qué diferencia hay entre "http://" y "https://"?
Ver todos los comentarios en https://www.xatakamovil.com
VER 0 Comentario