読者です 読者をやめる 読者になる 読者になる

HTTPSを解読するHEIST攻撃

毎年この季節はBlack Hatのおかげでセキュリティニュースがすごい状態ですね。DEF CONもあわせて1回行ってみたいとは思いますが。

「HEIST攻撃、HTTPS暗号化通信からの情報窃取を可能に」

news.softpedia.com

JavaScriptだけでHTTPSによる暗号化通信を解読できるという画期的というか悪夢なお話です。銀行サイトでの詐欺から国家による傍受まで、応用先はかなり広いんじゃないでしょうか。JavaScriptは広告など第三者サーバから投入できるようなので、かなりの危険性があるように思います。

暗号解読は、暗号化後のデータのサイズ変化をもとに、総当たり(ブルート・フォース)で調べるという力技。ブラウザ上の挙動が重くならないんですかね(元々重いから気づかない?)。解読対象を重要部分に区切ることで、より効果的な攻撃が可能となります。