短時間でcookie解読、RC4暗号通信を破る新手法

HTTPS通信などに使われる暗号アルゴリズムの「RC4」を突破する新たな方法をセキュリティ研究者グループが発表した。 HTTPSなどの暗号化通信に使われている暗号アルゴリズム「RC4」の弱点を突いて、旧来の手法よりも短い時間で暗号化されたユーザーのcookieを解読できてしまう方法が見つかったという。ベルギー・ルーベン大学の2人のセキュリティ研究者Mathy Vanhoef氏とFrank Piessens氏が、「RC4 NOMORE」と題する論文を発表した。 RC4は、30年以上前に開発された古い暗号アルゴリズム。既にWindowsなどではサポートされていないものの、Webサイトの暗号化通信などではサポートが継続され、まだ3割程度の通信で使用されているという。 研究者らによると、この弱点を使った攻撃は、まず悪質なJavaScriptを埋め込んだWebサイトをユーザーに閲覧させ、暗号化された

[apollo440]

スライドwww 「All Your Biases Belong To Us」 ってw

[JULY]

「まだ3割程度の通信で使用されているという。」ホントかなぁ。RC4 がサポートされているサーバはまだ多いと思うけど、RC4 でネゴシエーションが成立するケースは少ないんじゃないかなぁ。

[todesking]

"まず悪質なJavaScriptを埋め込んだWebサイトをユーザーに閲覧させ、暗号化されたユーザーのWeb cookieを攻撃者に送信するよう仕向ける"とかめちゃくちゃなことが書いてある(元資料によると単に通信をキャプチャしてる)

[ardarim]

All Your Biases Belong to Usで草

[gugego]

via ITmedia エンタープライズ

[usurausura]

時間のない人はhttp://www.rc4nomore.com のINTRODUCTIONとDEMONSTRATION両方の最後の段落を読もう

[zu2]

“研究者らの方法では攻撃者は75時間以内にcookieを解読できるといい、機器を使った研究者の実証では52時間で攻撃に成功した”

[khtokage]

"All Your Biases Belong to Us" くっそｗｗｗ 短時間でcookie解読、RC4暗号通信を破る新手法 - ITmedia エンタープライズ

[Dai_Kamijo]

“短時間でcookie解読、RC4暗号通信を破る新手法 - ITmedia エンタープライズ” — piyokango (@piyokango) July 17, 2015 from Twitter https://twitter.com/Dai_Kamijo July 17, 2015 at 03:46PM via IFTTT

[daybeforeyesterday]

うーむ

[motchang]

AYB だ

[stealthinu]

今度はRC4の脆弱性指摘。最近SSLがらみのこの手の多いなあ…

[katsuren]

All your biase are belong to us

[giass]

“向ける。攻撃者は入手したcookieを復号し、正規ユーザーに”

[migrant777]

わりと大きな話のはずなのにAYBで草

[agrisearch]

「cookie以外の暗号化された情報も解読できるほか、「WPA-TKIP」による無線LANの暗号化通信も影響を受けるという。」

[y-kawaz]

？？？そもそも別サイトのクッキーが盗めてる時点でXSSなり何らかの問題があるように思えるんだがなにか勘違いしてるんだろうか…？ここで言うcookieてHTTPのクッキーじゃなくTLSの用語かなんかなん？／翻訳が糞案件か…

[urtz]

"All Your Bases Belong to Us"案件

[minoton]

運用監視暗号リスト入りしたものが次々と破られていく

[HIROCASTER]

短時間でcookie解読、RC4暗号通信を破る新手法 - ITmedia エンタープライズ - はてなブックマーク - 人気エントリー - テクノロジー

[mickn]

"かつてのRC4に対する攻撃は、TLS通信の場合で2000時間以上もかかっていたが、研究者らの方法では攻撃者は75時間以内にcookieを解読できる"

[smbd]

やっためう。RC4切れるめう！

[wataken44]

で今まさに話されてることに関係しそう