Nový útok na HTTPS HEIST (HTTP Encrypted Information can be Stolen Through TCP-Windows) byl ve středu představen na bezpečnostní konferenci Black Hat v Las Vegas. Nový útok nepotřebuje MITM a dokonce ani odposlouchávat komunikaci. Délku šifrované odpovědi zjistí škodlivý JavaScript přímo v prohlížeči přes nové API Resource Timing a Fetch.
Při známé délce šifrované odpovědi je možné použít starší HTTPS útoky jako BICYCLE, BREACH nebo CRIME a zjistit například e-mailové adresy, hesla, GPS souřadnice, rodná čísla a jiné krátké šifrované údaje. HEIST dokáže napadnout také HTTP/2.
(zdroj: arstechnica)
ČLÁNKY DO MAILU