From: Mike Belshe <[email protected]> Date: Thu, 13 Sep 2012 20:20:49 -0700 To: httpbis mailing list <ietf[email protected]> Message-ID: <CABaLYCsAmOe7z68E25pfYsuhb8r_AsH-AbzX-VfUYK_VGWbGDg@mail.gmail.com> You may have read about the CRIME attack recently: http://security.stackexchange.com/questions/19911/crime-how-to-beat-the-beast-successor/19914#19914 http://www.cio.com/article/716161/_39_CRIME_39_
SSLの( ´ω`) 証明書とCipherSuiteと他設定を採点してくれるサイトがあります。 Qualys SSL Labs SSL Server Test 現状で試したところ87点でした。 一応GRADE Aです。 BEASTとCRIMEに対応出来てない旨も表示されました。 Apacheを使っているのでBEASTはともかく、CRIMEは現状無理だろと。 Apache2.5/2.2.24からSSL時の圧縮制御が可能になるようです。 やっぱ現状無理じゃねーか・・・と思っていたらバックポートパッチがありました。 Apache2.5のCHANGEを見ていると SSL/TLS方面の充実が図られているのでしょうか NPN対応やSRP対応ともあります。 NPNといえばSPDY。 以前、mod_spdyは試してみました。 2.5からは要らないのかな?と思って2.5を試したのですがいまいちよくわからず。
It seems that it is that time of year again, when Juliano and Thai present their most recent attack against crypto system. Last year, it was BEAST. This year, it’s CRIME, a practical attack against how TLS is used in browsers. In a wider sense, the same attack conceptually applies to any encrypted protocol where the attacker controls what is being communicated. Initially, it was only known that th
Post author:Paolo Passeri Post published:September 13, 2012 Post category:Security Post comments:2 Comments Reading time:2 mins read Last Updated on May 24, 2015 More details have been released about CRIME, the brand new attack against TLS developed by Juliano Rizzo and Thai Duong. The attack takes advantage of a flaw in the compression ratio of TLS requests wich allows the attacker to decrypt the
![More Details on CRIME Attack: Takes Advantage Of TLS Compression [VIDEO]](https://cdn-ak-scissors.b.st-hatena.com/image/square/570a5641ae8819321a1081a5880a56c642f06555/height=288;version=1;width=512/https%3A%2F%2Fsiteproxy.ruqli.workers.dev%3A443%2Fhttps%2Fwww.hackmageddon.com%2Fwp-content%2Fuploads%2F2021%2F01%2Fcropped-Icon512-1.png)
Two security researchers claim to have developed a new attack that can decrypt session cookies from HTTPS (Hypertext Transfer Protocol Secure) connections. From the security researchers who created and demonstrated the BEAST (Browser Exploit Against SSL/TLS) tool for breaking SSL/TLS encryption comes another attack that exploits a flaw in a feature in all versions of TLS. The new attack has been g
'CRIME' Attack Abuses SSL/TLS Data Compression Feature to Hijack HTTPS Sessions SSL/TLS data compression leaks information that can be used to decrypt HTTPS session cookies, researchers say The 'CRIME' attack announced last week exploits the data compression scheme used by the TLS (Transport Layer Security) and SPDY protocols to decrypt user authentication cookies from HTTPS (HTTP Secure) traffic,
はじめに 以前のエントリでSSLに対する新しい攻撃手法「BEAST」を紹介しましたが、今回はBEASTをさらに発展させた「CRIME」という攻撃について簡単に紹介したいと思います。一次情報源としてこちらのスライド(英語)が閲覧できますので、時間がある方はぜひ目を通してみてください。 CRIMEの意味 CRIMEは "Compression Ratio Info-Leak Made Easy" あるいは "Compression Ratio Info-Leak Mass Exploitation" の頭文字で、SSLやSPDY(あるいはHTTPボディ部のgzip圧縮)で使われる圧縮アルゴリズムに注目した攻撃手法です。あまり知られていませんがSSLには圧縮機能が存在しており、サーバ側・クライアント側双方が圧縮機能をONにしている場合に、データが圧縮されます。 BEASTとの関係 CRIMEはB
新攻撃ツールの「CRIME」は、圧縮プロトコル「SPDY」の実装に関する脆弱性を突き、SSLで暗号化されたHTTPSセッションを乗っ取ることができてしまうという。 アルゼンチンで9月19日から開かれるセキュリティカンファレンス「ekoparty」で、2人のセキュリティ研究者がTLS/SSLを攻撃する新ツール「CRIME」の発表を予定している。米セキュリティ機関のSANS Internet Storm Centerがブログで伝えた。 SANSの13日のブログによると、同ツールは圧縮プロトコル「SPDY」の実装に関する脆弱性を突き、SSLで暗号化されたHTTPSセッションを乗っ取ることができてしまう。この攻撃は、WebサイトとWebブラウザの両方がSPDYをサポートしている場合にのみ通用するようだとしている。 SPDYをサポートしているのは、主要ブラウザではMozillaのFirefoxとGo
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
