Conseillé, 2024

Le choix des éditeurs

Comment installer paramiko et pycrypto sous mac os x facilement

Comment installer paramiko et pycrypto sous mac os x facilement

Envoyer la page Web actuelle à chrome à partir de safari dans iOS avec un bookmarklet

Envoyer la page Web actuelle à chrome à partir de safari dans iOS avec un bookmarklet

Chrome pour ipad, iphone et ipod touch maintenant disponible sur ios app store

Chrome pour ipad, iphone et ipod touch maintenant disponible sur ios app store

Accueil  /  IFA

La gestion des cookies dans les navigateurs peut casser la sécurité HTTPS

  • 2024

Désactiver et activer les cookies sur son navigateur

Désactiver et activer les cookies sur son navigateur
Anonim

Les cookies, les fichiers que les sites Web créent dans les navigateurs pour se souvenir des utilisateurs connectés et suivre d'autres informations à leur sujet, pourraient être exploités par des pirates pour extraire des informations sensibles des connexions HTTPS chiffrées. le fait que la norme HTTP State Management, ou RFC 6265, qui définit comment les cookies doivent être créés et manipulés, ne spécifie aucun mécanisme pour les isoler ou vérifier leur intégrité.

En tant que tels, les navigateurs Web n'authentifient pas toujours les domaines qui a mis des cookies. Cela permet aux attaquants malveillants d'injecter des cookies via des connexions HTTP simples qui seront ensuite transmises pour les connexions HTTPS au lieu de celles établies par les sites HTTPS eux-mêmes, a indiqué jeudi le centre de coordination CERT / CERT à l'université Carnegie Mellon. > [Lectures supplémentaires: Comment supprimer les logiciels malveillants de votre PC Windows]

L'une des raisons pour cela est que les sous-domaines peuvent définir des cookies valides pour leurs domaines parents ou d'autres sous-domaines.

Par exemple, sous-domaine. domain.com définit un cookie avec l'attribut domain de domain.com, ce cookie peut également être envoyé par le navigateur à subdomain2.domain.com. Le site hébergé sur subdomain2 pourrait ne pas être capable de différencier son propre cookie de celui du voyou.

Les cookies ne sont pas non plus isolés par numéro de port ou schéma. Un serveur peut héberger plusieurs sites Web accessibles via le même domaine, mais sur des numéros de port différents. Ces sites pourront lire et écrire les cookies des uns et des autres.

Toutes ces incohérences peuvent permettre aux attaquants du type intermédiaire d'effectuer des attaques par injection de cookies ou des attaques par cookie qui peuvent être utilisées pour extraire des informations sensibles de HTTPS

Une équipe de chercheurs de l'Université de Californie à Berkeley, de l'Université Tsinghua à Beijing, de l'International Computer Science Institute et de Microsoft ont testé les implications de ces attaques sur différents sites web HTTPS.

Ils ont découvert qu'ils pouvaient pirater les gadgets de chat de l'interface Gmail, dérober des historiques de recherche Google, voler des informations de carte de crédit sur le site Web de China UnionPay, pirater des dépôts sur JD.com, pirater des associations Google OAuth et BitBucket, suivre et manipuler les paniers d'achat sur les sites de commerce électronique, suivre l'historique des achats sur Amazon.com et plus encore.

"Certains vendeurs de navigateurs Web ont noté des tentatives antérieures de La gestion des cookies a été mise en échec en raison de l'absence d'une norme largement implémentée », a déclaré le CERT / CC dans son avis.

Jusqu'à ce que les organismes de normalisation proposent une solution, le problème peut être atténué Système de sécurité du transport (HSTS) pour forcer les navigateurs à toujours y accéder via des connexions HTTPS sécurisées.

Les versions les plus récentes des principaux navigateurs prennent en charge HSTS, mais pour que ce mécanisme soit efficace contre les attaques par injection de cookies,

Malheureusement, l'adoption du HSTS sur les sites HTTPS reste faible. Selon les dernières statistiques du projet SSL Pulse, seulement 4,5% des 145 000 premiers sites HTTPS d'Internet supportent actuellement le HSTS.

La gestion des cookies dans les navigateurs peut casser la sécurité HTTPS

La gestion des cookies dans les navigateurs peut casser la sécurité HTTPS

Les attaquants peuvent injecter des cookies via des connexions HTTP afin d'extraire des informations cryptées Trafic HTTPS.

Des milliers de dispositifs médicaux, notamment des scanneurs IRM, des appareils de radiographie et des pompes à perfusion, sont vulnérables au piratage, ce qui crée des risques pour la santé des patients, ont déclaré des chercheurs en sécurité cette semaine. De plus en plus connecté à Internet pour que les données puissent être introduites dans les systèmes de dossiers électroniques des patients, a déclaré le chercheur Scott Erven, qui a présenté ses découvertes avec son collègue chercheur Mark

Des milliers de dispositifs médicaux, notamment des scanneurs IRM, des appareils de radiographie et des pompes à perfusion, sont vulnérables au piratage, ce qui crée des risques pour la santé des patients, ont déclaré des chercheurs en sécurité cette semaine. De plus en plus connecté à Internet pour que les données puissent être introduites dans les systèmes de dossiers électroniques des patients, a déclaré le chercheur Scott Erven, qui a présenté ses découvertes avec son collègue chercheur Mark

Outre les problèmes de confidentialité, le piratage informatique peut modifier les dossiers médicaux et les plans de traitement des patients.

Articles populaires

La plate-forme cloud Google peut désormais être gérée depuis un téléphone
IFA

La plate-forme cloud Google peut désormais être gérée depuis un téléphone

  • 2024-07-01
Samsung, LG se disputent sur les machines à laver cassées
IFA

Samsung, LG se disputent sur les machines à laver cassées

  • 2024-07-01
Le programme d'échange d'Apple en Chine pourrait stimuler les ventes
IFA

Le programme d'échange d'Apple en Chine pourrait stimuler les ventes

  • 2024-07-01

Catégories populaires

Top