Nieuwe SSL-aanval kaapt HTTPS-sessies
De aanvallers die vorig jaar al demonstreerden dat ze versleuteld verkeer konden onderscheppen hebben nu een nieuwe aanval ontwikkeld. BEAST (Browser Exploit Against SSL/TLS), zoals Juliano Rizzo en Thai Duong hun eerste aanval noemden, maakte het mogelijk om de sessie van gebruikers op HTTPS-sites te kapen. Voor het uitvoeren van de aanval moest de aanvaller tussen het slachtoffer en de website in zitten.
Ook bij de nieuwe aanval, die CRIME wordt genoemd, is een man-in-the-middle positie nog steeds nodig om het HTTPS-verkeer te onderscheppen. Daarbij injecteren de onderzoekers JavaScript in de browser van het slachtoffer om de sessie-cookies te ontsleutelen. Volgens Rizzo is er geen browser plug-in vereist en zou de aanval ook met statische HTML werken. Het gebruik van JavaScript zou de aanval versnellen.
JavaScript
"We moeten JavaScript code in de browser van het slachtoffer laden en het HTTPS-verkeer sniffen. Alle SSL/TLS-versies, waaronder TLS 1.2, zijn kwetsbaar als de implementatie de feature ondersteunt die we gebruikten om informatie te lekken over versleutelde gegevens", laat Rizzo weten.
"De gebruikte cipher-suite maakt niets uit, een workaround voor BEAST was het overstappen van AES naar RC4, maar voor CRIME is dat niet belangrijk. De feature moet door zowel de client als server worden ondersteund."
Patch
Op dit moment zouden zowel Mozilla Firefox als Google Chrome kwetsbaar zijn. De browserontwikkelaars zijn echter al ingelicht en hebben een patch ontwikkeld die de komende weken wordt uitgerold. De onderzoekers zullen hun onderzoek tijdens de Ekoparty beveiligingsconferentie op 19 september presenteren.
Javascript is iets volslagen anders dan Java (zeer onfortuinlijke naamgeving, op basis van marketinghype in de jaren 90). Als je Java uitzet heb je nog steeds Javascript-ondersteuning. Gebruik NoScript om zelf te bepalen welke sites Javascript mogen uitvoeren (alhoewel ook "vertrouwde" sites via een XSS-exploit gehackt kunnen worden)
JAVA <> Java Script.
Wat is JavaScript en wat is het verschil tussen JavaScript en de Java-technologie?
De JavaScript-programmeertaal is ontwikkeld door Netscape, Inc. en is geen onderdeel van het Java-platform.
U kunt met JavaScript geen zelfstandige applets of toepassingen maken. Op dit moment wordt Java voornamelijk gebruikt in HTML-documenten, voor webpagina's met een mate van interactiviteit die niet haalbaar is met enkel HTML.
Hier ziet u de belangrijkste verschillen tussen Java en JavaScript.
Java is een OOP-programmeertaal terwijl JavaScript een OOP-scripttaal is.
Met Java worden toepassingen gemaakt die in een virtuele machine kunnen worden uitgevoerd. JavaScript-code kan alleen in een browser worden uitgevoerd.
Java-code moet worden gecompileerd, terwijl JavaScript-code enkel uit tekst bestaat.
Voor beide zijn andere plug-ins nodig.
Bron: java.com
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
