Tato stránka používá Cookies. Informace o Cookies.
 
PRO MOBIL
PRO MOBIL
KLASICKY
KLASICKY


Novinky

25 let stará chyba by mohla ohrozit miliony uživatelů

Podle dvou bezpečnostních expertů jsou tisíce webových stránek postiženy závažnou chybou. Ta by mohla vést k ohrožení soukromých dat milionů uživatelů po celém světě.

Bezpečnostní analytici Nate Lawson a Taylor Nelson prý objevili chybu v několika open-sourceových softwarových databázích, které se využívají k ověřování uživatelských jmen a hesel na mnoha webových stránkách. Chyba je například v knihovnách, které využívají oblíbené webové portály jako Twitter nebo Digg. Ohroženy by tak mohly být miliony uživatelů po celém světě. Podle Lawsona a Nelsona jde proti webovým stránkám s postiženými softwarovými knihovnami provést tzv. "časový útok." O tom se ví již 25 let, avšak bezpečnostní odborníci jej obecně považovali za těžko proveditelný.

Časový útok spočívá v tom, že útočník měří čas, který uplyne mezi tím, než uživatel klikne na tlačítko "Přihlásit se" na dané webové stránce a jeho skutečným (ne)přihlášením. Některé přihlašovací systémy totiž  testují přihlašovací heslo znak po znaku, a jakmile narazí na špatný znak, vyhodnotí heslo jako neplatné. To znamená, že pokud útočník zkouší uhodnout heslo a vloží například alespoň první znak správně, přihlašovacímu systému zpracování celé operace (a vyhodnocení hesla jako neplatného) trvá o něco déle, než když je hned první znak neplatný. Útočníci se tak zkoušejí opakovaně přihlašovat a podle časové odezvy přihlašovacího systému postupně mění znaky.

I když jsou na časové útoky různé názory, Lawson a Nelson věří, že na webech se zmíněnou bezpečnostní chybou jsou použitelné. O možnostech tohoto útoku chtějí oba muži více promluvit na konferenci Black Hat, která se uskuteční příští měsíc v Las Vegas.

autor Jiří Paleček, Robert McMillan


Mobilní verze našich dalších titulů

 
 
Nahoru
 
Nahoru
 
© IDG Czech Republic, a.s.