События

Разработан новый протокол для защиты от атак повторного воспроизведения

Инженеры Google и Microsoft объединили свои усилия для защиты от кибератак, известных как атаки повторного воспроизведения.

Атака повторного воспроизведения осуществляется путем записи и последующего воспроизведения подлинных данных, отправленных ранее. К примеру, злоумышленник может похитить принадлежащий жертве токен авторизации OAuth и использовать его для получения доступа к ресурсам, считающимся защищенными.

С целью обезопасить пользователей от подобных атак Андрей Попов и Магнус Нистроем (Magnus Nystroem) из Microsoft, Дирк Балфанз (Dirk Balfanz) из Google и Джефф Ходжес (Jeff Hodges) из Консорциума Всемирной паутины разработали первую версию протокола Token Binding Protocol. Свой проект разработчики представили Инженерному совету интернета в виде рабочего предложения (RFC).

Token Binding Protocol представляет собой протокол, привязывающий cookie-файлы HTTPS и токены OAuth к уровню TLS. Предполагается, что уровень шифрования лишит злоумышленников возможности экспортировать токены и тем самым предотвратит атаку повторного воспроизведения.

Для привязки токенов юзер-агент генерирует открытый и закрытый ключ для каждого сервера. То есть, клиент представляет свой открытый ключ, а рукопожатие обеспечивает закрытый ключ. Так происходит для каждого TLS-подключения к данному серверу.

Механизм привязки токенов к уровню TLS будет отличаться в зависимости от приложения. К примеру, Token Binding ID или криптографический хэш может встраиваться в токен или добавляться в базу данных для сопоставления токенов с соответствующими идентификаторами.

Расширение TLS с использованием Token Binding Protocol описано здесь , а метод его применения по отношению к HTTP – здесь .

Источник

Автор: Сергей Куприянов
10.10.2018 (16:06)
Пройди тест и узнай об этом!
Информер новостей
Расширение для Google Chrome
Пишите нам

Редакция: info@alterprogs.ru

Реклама: adv@alterprogs.ru

Все права защищены © 2010-2018

"Alterprogs.ru" - технологии будущего

Контакты  | Карта сайта

Использование любых материалов, размещенных на сайте, разрешается при условии ссылки на alterprogs.ru. Для интернет-изданий - обязательна прямая открытая для поисковых систем гиперссылка. Ссылка должна быть размещена в независимости от полного либо частичного использования материалов. Материалы в рубрике "Новости партнеров" публикуются на правах рекламы.