Обнаружена уязвимость автоподсказки

- КиТ :: Будь в СЕТИ!

Исследователи из университета штата Индиана США и компании Microsoft обнаружили способ получать некоторые данные из трафика, зашифрованного при помощи протокола SSL (HTTPS)

Перехватывая зашифрованный трафик и анализируя размер пакетов и их атрибуты, они смогли извлечь некоторую информацию о содержимом информационного обмена. Этот протокол широко применяется для защиты электронной почты, поисковых систем, Интернет-магазинов и других сервисов, хранящих персональные данные. В опубликованной статье утечка демонстрируется на примере одного известного медицинского сайта. В Web-форме там имеется автозаполнение/автоподсказка (auto-suggestion feature). При этом ввод пользователем каждого нового символа в форму вызывает информационный обмен между сайтом и браузером (для формирования/уточнения подсказки). Хотя этот обмен и зашифрован при помощи HTTPS, но посимвольный характер ввода позволяет определять вводимые слова на основе статистического анализа. Подобные возможности имеются в поисковой строке Google, в полях форм Yahoo, Microsoft's Bing и др.

По мнению экспертов компании InfoWatch, первым ответным шагом станет появление на соответствующих сайтах опции "отключить автозаполнение", а в дальнейшем будут введены более надежные меры противодействия, например, "зашумление" информационного обмена во время уточнения автоподсказки.

ПодпискаБудь в СЕТИ! Новости социальных сетей - всегда актуальное
 
Группы: ВК | OK | Tg