NyupptÀckta HTTPS-sÄrbarheter kan lÀmna dina data exponerade

NyupptÀckta HTTPS-sÄrbarheter kan lÀmna dina data exponerade

“HTTPS sĂ€gs vara sĂ€krare och mindre benĂ€gna att attackera mellanmĂ€n, men ny forskning sĂ€ger att det inte Ă€r fallet”

Forskare vid Ca ‘Foscari-universitetet i Venedig, Italien och Tu Wien, Österrike, har upptĂ€ckt att över 10 000 toppwebbplatser, som anvĂ€nder HTTPS, fortfarande Ă€r sĂ„rbara för utnyttjande av Transport Layer Security. HTTPS (Hypertext Transfer Protocol Security) ersatte HTTP för flera Ă„r sedan och anvĂ€nds för nĂ€rvarande av de flesta toppwebbplatser, men har fortfarande visat sig vara inte sĂ€kert. HTTPS ska skydda anvĂ€ndare frĂ„n man-i-mitten-attacker och inte tillĂ„ta hackare att fĂ„ tillgĂ„ng till dina lösenord, historik och annan data.

Den nya undersökningen sÀger att vissa webbplatser som anvÀnder HTTPS för att sÀkra anslutningen mellan anvÀndare och webbservern fortfarande lÀmnar en del av anvÀndardata utsatta för hackare. Av de 10 000 webbplatser som analyserades befanns cirka 5,5 procent vara sÄrbara för exploateringar. HTTPS anvÀnder Transport Layer Security eller TLS för att kryptera kommunikation. Vissa webbplatser implementerar dock inte detta protokoll ordentligt. Dessa webbplatser har inte lyckats fixa nÄgra kÀnda buggar med TLS.

bredband

Det gröna hÀnglÄset för HTTPS visas dock fortfarande i adressfÀltet nÀr anvÀndare besöker dessa webbplatser. Felen i TLS Àr mycket svÄra att upptÀcka, men de finns kvar och kan eventuellt utnyttjas. Forskarna anvÀnde en TLS-analysteknik för att analysera de 10 000 bÀsta webbplatserna. De anvÀnde Alexa rankningslista för att hitta dessa webbplatser. Forskningsdokumentet kommer att presenteras vid det 40: e IEEE-symposiet om sÀkerhet och integritet, som kommer att hÄllas i San Francisco i maj.

Bristerna kan anvĂ€ndas av en angripare för att dekryptera information frĂ„n cookies. Även om cookies inte ger nĂ„gon kĂ€nslig information till angriparen, finns det andra brister som kommer att göra det. Angriparen kan fĂ„ tillgĂ„ng till i stort sett all data som utbyts mellan webblĂ€saren och en server. Detta Ă€r den frĂ€msta anledningen till att HTTPS anvĂ€ndes istĂ€llet för HTTP, men det verkar som om det fortfarande inte gör det bĂ€sta jobbet.

Det Àr viktigt att notera att de 10 000 webbplatser som testades ocksÄ Àr lÀnkade till cirka 91.000 domÀner. SÄrbarheterna kan ocksÄ pÄverka dessa webbplatser. Av de 10 000 webbplatserna var 898 webbplatser helt sÄrbara och hela data visade sig Àventyras. Ytterligare 977 webbplatser hade sidor med lÄg integritet, vilket Äterigen Àr en mycket stor frÄga.