Komprimiertes HTTPS ist unsicher
Kommentare

Das Software Engineering Institute CarnegieMellon, das im Auftrag von der Homeland-Security-Behörde der USA arbeitet, hat vor möglichen Sicherheitslecks in komprimierten HTTPS-Verbindungen gewarnt. Im

Das Software Engineering Institute CarnegieMellon, das im Auftrag von der Homeland-Security-Behörde der USA arbeitet, hat vor möglichen Sicherheitslecks in komprimierten HTTPS-Verbindungen gewarnt. Im Bericht heißt es, dass sich darüber Klartext-Botschaften aus dem ansonsten verschlüsselten Stream herauslesen lassen. Derzeit lasse sich das Problem nicht zuverlässig lösen, sondern nur mit der Deaktivierung der HTTP-Kompression und weiteren Schritten auf Serverseite umgehen.

Durchgeführt wird die Attacke in Form eines Man-in-the-middle-Angriffs, bei dem dem HTTPS-Server gezinkte Pakete zugespielt werden. Anhand der Größe dessen Antwort lassen sich Rückschlüsse auf die Verschlüsselung ziehen, womit sie innerhalb weniger Sekunden ausgehebelt werden kann. Weitere Informationen zur Methodik der Angreifer erfahrt Ihr in der offiziellen Meldung des Instituts.

InformationWeek sprach mit den Sicherheitsexperten über die Angriffsvektoren der scheinbar sicheren Übertragungsform im WWW. Die Herren haben erst kürzlich auf der Black Hat Conference in Las Vegas gezeigt, wie die obige Attacke durchgeführt wird. Handeslsübliche Webbrowser brauchen nur rund dreißig Sekunden, um Webservern genügend Anfragen zu senden, bis ausgehandelte Geheimnisse des HTTPS-Streams erraten wurden, um dann sämtliche Daten wie User IDs, E-Mail-Adressen oder Authentifizierungsschlüssel abfischen zu können.

Dafür allerdings müssen die Angreifer in der Lage sein, passives Monitoring des Datenverkehrs des Opfers zu betreiben. Und dies ist meistens nur im selben Netzwerk möglich (also in der Hotel-Lobby oder im Starbucks), was im Falle eines tatsächlichen Angriffs die Zahl der infrage kommenden Verdächtigen eingrenzen kann. Wenn es rechtzeitig auffliegt.

Bild: Eye in keyhole von Shutterstock / Urheberrecht: Tischenko Irina

Unsere Redaktion empfiehlt:

Relevante Beiträge

Meinungen zu diesem Beitrag

X
- Gib Deinen Standort ein -
- or -