Информационные технологииStfw.Ru 🔍
🕛

Отправленные через HTTP-запрос cookie-файлы могут «обмануть» HTTPS-соединение

Пользователи последних версий браузеров могут не беспокоиться об угрозах безопасности.Пользователи последних версий браузеров могут не беспокоиться об угрозах безопасности. Команда экст
Пользователи последних версий браузеров могут не беспокоиться об угрозах безопасности.




Команда экстренного реагирования на киберугрозы промышленных систем управления (ICS-CERT) предупредила, что практически все основные производители браузеров совершают одну ошибку реализации. Проблема заключается в том, что cookie-файлы, отравленные через HTTP-запрос, могут позволить удаленному злоумышленнику «обмануть» HTTPS-соединение и получить доступ к персональной сессионной информации пользователя.


Проблема впервые была озвучена еще на конференции Usenix, поэтому производители усиленно работают над устранением погрешности. Пользователи последних версий таких браузеров, как Safari, Chrome, IE (только с версии 11), Mozilla, Opera или Vivaldi могут не беспокоиться об угрозах безопасности.


Незащищенные браузеры принимают cookie-файлы через HTTPS-запрос, но не проверяют их источник. Согласно данным ICS-CERT, cookie-файлы могут быть отмечены как «защищенные» - это указывает на то, что информация должна быть отправлена только через HTTPS-соединение. Однако нет никаких сведений о том, откуда и как именно cookie-файл был отправлен. Злоумышленники, осуществляющие атаку «человек посередине», могут с помощью HTTP-сессии внедрить вредоносные cookie-файлы с пометкой «защищенные», которые будут передаваться через HTTPS-соединение.


Для незащищенного браузера это означает, что хакеры могут отправлять через HTTPS-соединение cookie-файлы, замаскированные под cookie-файлы других сайтов. Даже опытный пользователь, просматривающий список cookie-файлов, может не заметить вредоносный, что позволяет злоумышленнику похищать персональную информацию.

Также по теме:
Обзор безопасности, новые вирусы, уязвимости в сети. Взлом и защита компьютера, хакерские атаки.