Car-tech

Výzkumníci: Autentizační crack by mohl mít vliv na miliony

MS Fest Brno 2013: Autentizace uživatelů v ASP.NET aplikacích

MS Fest Brno 2013: Autentizace uživatelů v ASP.NET aplikacích
Anonim

Vzhledem k chybě hlášení, příběh "Vědci: Autentizační crack může mít vliv na miliony", napsal ve čtvrtek, nesprávně popsal cíl útoku na internetové autentizační systémy. Útok je zaměřen na digitální podpisy používané autentizačními tokeny odeslanými prohlížečem, které dokazují, že uživatel je přihlášen k webu.

Příběh byl opraven na drátě. Nadpis nyní čte:

Výzkumníci: Ověření crack by mohlo mít vliv na miliony

[Čtěte dále: Jak odstranit malware z počítače se systémem Windows]

A čtvrtý a pátý odstavec byly nahrazeny:

Útok je považován za tak obtížný, protože vyžaduje velmi přesná měření. Zruší autentizační tokeny tím, že změří čas potřebný k ověření digitálního podpisu. Na některých systémech server zkontroluje kryptografický podpis v tokenu odeslaném uživatelem, aby dokázal, že se přihlásil do systému. Odhalí chybovou zprávu, jakmile objeví špatný znak. To znamená, že počítač vrátí chybu úplně špatného tokenu o něco daleko rychleji než ten, kde je první znak správný.

Odesláním podpisů znovu a znovu, cyklováním přes znaky a měřením doby potřebné k odpovědi počítače, hackeři mohou nakonec zjistit správný digitální podpis.

Tento útok umožňuje, aby někdo maskoval jako oprávněný uživatel webu, aniž by se musel přihlásit.