เพียงไม่กี่วันหลังจากพบบั๊กในมาตรฐาน TLS นักศึกษาจากตุรกีก็สามารถอาศัยช่องโหว่ดังกล่าวในการขโมยข้อมูล Cookie และข้อมูลการล็อกอินไปจากเจ้าของข้อมูลได้แล้ว
การโจมตีดังกล่าวอาศัยการแทรกข้อมูล HTTP GET ลงไปก่อนหน้าข้อมูลจริงของเหยื่อ ทำให้สามารถโอนข้อมูลจาก URL และค่าบัญชีผู้ใช้ของเหยื่อไปยังบัญชีผู้ใช้ของผู้โจมตีได้
รายงานดังกล่าวโจมตีเว็บที่ใช้ HTTP Basic Auth เช่น Twitter โดยผู้โจมตีสามารถขโมยทั้งชื่อผู้ใช้และรหัสผ่านไปได้แม้จะใช้ HTTPS ก็ตามที
ระหว่างนี้ยังไม่มีมาตรการใดนอกจากการยกเลิกฟังก์ชั่น Renegotiating
ที่มา - SecureGoose, Educated Guesswork
Comments
ยังงงๆนิดนึงครับ จากที่ดูตัวอย่างของ educatedguesswork ใน link ที่มา คือ attacker จะสามารถปลอม request ด้วย cookie ของ client ได้ และได้รับ encrypt text ตอบกลับมา
แต่ attacker ก็ยังไม่น่าจะ decrypt message ที่ server ส่งมาได้รึเปล่าครับ?
คือแก้ไข request ของ client ได้, รับข้อมูลที่ server ตอบมาได้, แต่อ่านไม่ออกป่ะครับ? หรือผมอ่านตรงไหนพลาดไป?
"inject an arbitrary amount of chosen plaintext into the beginning of the application protocol stream"
ความรู้ และความฉลาด ไม่ใช่สิ่งเดียวกัน จะมีประโยชน์อะไร ถ้าฉลาดแต่อยู่ในกะลา
แบบนี้ก็มีผลกับพวกระบบธุรกรรมการเงินออนไลน์ซิ เพราะใช้ HTTPS กันทั้งนั้นเลย
ใช้ cookie แสดงสถานะเจ้าของบัญชี แล้วจับโอนเลย ;P แต่จริงๆบ้านเราเว็บธนาคาร Cookie ก็จะใช้แค่จำชื่อ user ไม่ได้จำ pass ถือว่า ยังดี .. เอ่อ นิดนึง