Dua peneliti keamanan mengklaim telah mengembangkan sebuah serangan baru yang dapat mendekripsi session cookies dari koneksi HTTPS (Hypertext Transfer Protocol Secure).
Website menggunakan cookies untuk mengingat pengguna otentik. Jika penyerang berhasil mengakses ke cookie sesi pengguna sementara pengguna masih dikonfirmasi di sebuah website, hacker bisa menggunakannya untuk mengakses akun pengguna di situs web tersebut.
HTTPS mestinya mampu mencegah jenis sesi pembajakan ini ,karena mengenkripsi session cookies yang sementara disimpan dalam browser. Namun, serangan baru, yang dibuat oleh peneliti keamanan Juliano Rizzo dan Thai Duong, mampu mendekripsi mereka.
Rizzo dan Duong menamai metode serangan mereka dengan 'CRIME' dan berencana untuk hadir akhir bulan ini pada konferensi keamanan Ekoparty di Buenos Aires, Argentina.
Serangan ini memanfaatkan kelemahan pada fitur tertentu dari protokol (Transport Layer Security) kriptografi TLS dan pendahulunya, SSL (Secure Sockets Layer) protokol, yang digunakan untuk mengimplementasikan HTTPS.
Semua versi SSL dan TLS dipengaruhi dan fitur dieksploitasi yang umumnya digunakan dalam SSL / TLS . Peneliti menolak untuk mengungkapkan fitur mana saja yang rentan sebelum presentasi serangan itu di Ekoparty.
Kode serangan CRIME, yang dikenal sebagai agen, perlu dimuat dalam browser korban. Hal ini dapat dilakukan, baik itu dengan menipu korban agar mengunjungi sebuah situs web jahat ,atau jika penyerang memiliki kontrol atas jaringan korban,itu bisa dilakukan dengan cara menginject kode serangan ke koneksi HTTP yang ada.
CRIME tidak memerlukan browser plug-in untuk bekerja, JavaScript hanya digunakan untuk membuatnya lebih cepat, tetapi juga dapat diimplementasikan tanpa itu, kata Rizzo.
Penyerang juga mampu mengintai korban via traffic HTTPS. Hal ini dapat dilakukan pada jaringan nirkabel terbuka, pada jaringan area lokal (LAN), dengan menggunakan teknik seperti spoofing ARP, atau dengan mendapatkan kontrol dari router korban melalui kerentanan atau password default.
Agar serangan mampu bekerja, baik client korban dan server hosting situs yang ditargetkan harus mendukung fitur SSL / TLS rentan, kata Rizzo.
Rizzo menegaskan tentang implementasi HTTPS pada beberapa situs populer yang rentan terhadap serangan, namun menolak menyebutkan nama salah satu dari mereka.
CRIME diuji berhasil dengan Mozilla Firefox dan Google Chrome. Namun, browser lain juga bisa terpengaruh, kata Rizzo. Mozilla dan Google telah mempersiapkan patch untuk memblokir serangan ini tapi mereka belum merilisnya, kata para peneliti.
Tahun lalu di Ekoparty, Rizzo dan Duong menyajikan sebuah serangan yang disebut BEAST (Browser Exploit Against SSL / TLS), yang juga mampu mendekripsi cookies HTTPS sesi. Serangan yang mempengaruhi SSL 3.0 dan TLS 1.0 bila digunakan dengan suite cipher tertentu.
Website menggunakan cookies untuk mengingat pengguna otentik. Jika penyerang berhasil mengakses ke cookie sesi pengguna sementara pengguna masih dikonfirmasi di sebuah website, hacker bisa menggunakannya untuk mengakses akun pengguna di situs web tersebut.
HTTPS mestinya mampu mencegah jenis sesi pembajakan ini ,karena mengenkripsi session cookies yang sementara disimpan dalam browser. Namun, serangan baru, yang dibuat oleh peneliti keamanan Juliano Rizzo dan Thai Duong, mampu mendekripsi mereka.
Rizzo dan Duong menamai metode serangan mereka dengan 'CRIME' dan berencana untuk hadir akhir bulan ini pada konferensi keamanan Ekoparty di Buenos Aires, Argentina.
Serangan ini memanfaatkan kelemahan pada fitur tertentu dari protokol (Transport Layer Security) kriptografi TLS dan pendahulunya, SSL (Secure Sockets Layer) protokol, yang digunakan untuk mengimplementasikan HTTPS.
Semua versi SSL dan TLS dipengaruhi dan fitur dieksploitasi yang umumnya digunakan dalam SSL / TLS . Peneliti menolak untuk mengungkapkan fitur mana saja yang rentan sebelum presentasi serangan itu di Ekoparty.
Kode serangan CRIME, yang dikenal sebagai agen, perlu dimuat dalam browser korban. Hal ini dapat dilakukan, baik itu dengan menipu korban agar mengunjungi sebuah situs web jahat ,atau jika penyerang memiliki kontrol atas jaringan korban,itu bisa dilakukan dengan cara menginject kode serangan ke koneksi HTTP yang ada.
CRIME tidak memerlukan browser plug-in untuk bekerja, JavaScript hanya digunakan untuk membuatnya lebih cepat, tetapi juga dapat diimplementasikan tanpa itu, kata Rizzo.
Penyerang juga mampu mengintai korban via traffic HTTPS. Hal ini dapat dilakukan pada jaringan nirkabel terbuka, pada jaringan area lokal (LAN), dengan menggunakan teknik seperti spoofing ARP, atau dengan mendapatkan kontrol dari router korban melalui kerentanan atau password default.
Agar serangan mampu bekerja, baik client korban dan server hosting situs yang ditargetkan harus mendukung fitur SSL / TLS rentan, kata Rizzo.
Rizzo menegaskan tentang implementasi HTTPS pada beberapa situs populer yang rentan terhadap serangan, namun menolak menyebutkan nama salah satu dari mereka.
CRIME diuji berhasil dengan Mozilla Firefox dan Google Chrome. Namun, browser lain juga bisa terpengaruh, kata Rizzo. Mozilla dan Google telah mempersiapkan patch untuk memblokir serangan ini tapi mereka belum merilisnya, kata para peneliti.
Tahun lalu di Ekoparty, Rizzo dan Duong menyajikan sebuah serangan yang disebut BEAST (Browser Exploit Against SSL / TLS), yang juga mampu mendekripsi cookies HTTPS sesi. Serangan yang mempengaruhi SSL 3.0 dan TLS 1.0 bila digunakan dengan suite cipher tertentu.
BalasHapusSELAMAT DATANG DI WEBSITE KAMI WWW(dot)MEDIAQQ(Dot)COM
Semuanya hanya ada di MEDIAQQ
Kami menyediakan 7 jenis permainan ni:
1. PLAY AduQ
2. BANDAR POKER
3. PLAY BANDARQ
4. CAPSA SUSUN
5. PLAY DOMINO 99
6. PLAY POKER
7. SAKONG
Untuk masalah deposite dan withdraw kami minimal 15.000 ribu saja.
Dengan 15.000 ribu saja sudah bisa bermain 7 game tersebut
dan mencoba hoki masing-masing lo.
Dan kami akan memproses Deposite dan Withdraw
cuma dengan waktu kurang dari 5 menit, bagaimana cepat kan bosku.
MEDIAQQ juga menyediakan layanan live chat 24 jam nonstop.
Jika bosku mengalami kesulitan dalam mendaftar atau kurang mengerti.
Anda dapat menghubungi kami melalui livechat,BBM,SKYPE atau pun Facebook.
Kami akan siap 24 jam bosku untuk melayani anda
dan mengatasi semua keluhan anda.
Kami juga mempunyai macem-macem bonus bosku:
1. BONUS TURN OVER 0.3%
2. BONUS REFFERAL 20%
yuk buruan daftarkan diri anda ke website kami di www(Dot)MEDIAQQ(Dot)com