Специалисты CERT обнаружили проблему с cookie во всех современных браузерах

Тема в разделе "Новости информационной безопасности", создана пользователем лис.хвост, 1 окт 2015.

  1. лис.хвост
    Оффлайн

    лис.хвост VIP Разработчик

    Сообщения:
    631
    Симпатии:
    983
    [​IMG]
    Команда ученых из Computer Emergency Response Team (CERT) опубликовала отчет, согласно которому, реализация хранения и использования cookie-файлов практически во всех современных браузерах ставит безопасность системы под вопрос.

    Ученые рассказали, что производители примеряют стандарт RFC 6265, отвечающий за браузерные cookies, неверно. Проблема заключается в следующем. Полученные через обычный HTTP-запрос cookie-файлы могут отмечаться как «защищенные», то есть имеют secure flag. По идее, такие cookie должны передаваться только через HTTPS-соединение, пишет xakep.ru.

    Однако исследователи выявили, что многие современные браузеры используют любые cookie-файлы в ходе HTTPS-соединения, не проверяя при этом их источник (так называемый cookie forcing). В том числе, принимаются и «защищенные» cookie, подложенные в систему ранее. Это позволяет атакующему осуществить man-in-the-middle атаку, внедрив через HTTP-запрос фальшивые cookie, которые будут маскироваться под cookie-файлы других, легитимных сайтов, перезаписывая настоящие. Такую подмену будет сложно заметить даже тем, кто регулярно проверяет списки cookie в браузере и ищет в них подозрительное. Далее, при помощи такой подделки, можно легко перехватить приватную информацию пользователя, в ходе HTTPS-сессии.

    Впервые о проблеме рассказали еще в августе 2015 года, на конференции USENIX 24, так что разработчики браузеров уже успели подготовиться и выпустить «заплатки». Проблеме были подвержены буквально все браузеры: Safari, Firefox, Chrome, Internet Explorer, Edge, Opera и Vivaldi. От бага избавлены лишь самые последние их версии.

    Специалисты CERT также рекомендуют вебмастерам использовать HSTS (HTTP Strict Transport Security), механизм, активирующий форсированное защищённое соединение через протокол HTTPS для доменов верхнего уровня. Данная политика безопасности позволяет сразу же устанавливать безопасное соединение, вместо использования HTTP-протокола. Механизм использует особый заголовок Strict-Transport-Security для принудительного использования браузером протокола HTTPS даже в случае перехода по ссылкам с явным указанием протокола HTTP (http://). Механизм специфицирован в RFC6797 в ноябре 2012 года.

    HSTS помогает предотвратить часть атак, направленных на перехват соединения между пользователем и веб-сайтом, в частности атаку с понижением степени защиты и воровство кук.

     
    ScriptMakeR, Dragokas, orderman и 3 другим нравится это.

Поделиться этой страницей