Vulnerabilidade possibilita a extração de informações em tráfego HTTPS

scanner-vulnerabilidades-webFoi apresentada na Black Hat USA 2013 a prova de conceito para a vulnerabilidade no método de  compressão HTTPS que possibilita a extração de informações sensíveis em tráfego web  encriptado SSL/TLS como identificadores de sessão, tokens de login, dentre outras. Veja a  apresentação através do link.

A ferramenta apresentada na conferência denominada BREACH (Browser Reconnaissance and  Exfiltration via Adaptive  Compression of Hypertext) é uma evolução do ataque CRIME  (Compression Ratio Info-leak Made Easy) que é baseado no tamanho  das respostas.

Como mitigação considerem desabilitar a compressão HTTP; embararalhar os segredos em cada requisição do cliente; proteger  páginas web contra os ataques CSRF; ofuscar o tamanho das  respostas web; dentre outras.

Vejam mais informações sobre a vulnerabilidade no site: www.kb.cert.org/vuls/id/987798