nuova sicurezza in corso...

Dopo lo scandalo Diginotar, la navigazione HTTPS non risente di grossa sicurezza, visto che essa stessa dovrebbe rappresentare il protocollo sicuro per definizione. Il lavoro svolto da due ricercatori, Juliano Rizzo e Thai Duong, rappresenta qualcosa d'interessante: un attacco in grado di superare la cifratura dati dei certificati SSL e TLS. Rizzo e Duong, con il progetto BEAST, acronimo di “Browser Exploit Against SSL/TLS” introduranno le tematiche di quest'attacco nel prossimo venerdì, proprio ad una conferenza sulla sicurezza. In pratica questo tipo di attacco sarebbe difficile da bloccare se non si utilizza la potenza di riconversione da parte dei servizi web. Il codice sostanzialmente agisce con un attacco “man-in-the-middle”, composto da due diversi componenti: la prima porzione di BEAST deve essere caricata all'interno del browser web della vittima, mentre la seconda porzione consente di catturare e decrittare il cookie di sessione HTTPS. In totale, occorrono cinque minuti per leggere in chiaro le informazioni contenute nei cookie cifrati. Sostanzialmente, L'Hypertext Transfer Protocol over Secure Socket Layer (HTTPS) è l'applicazione pratica di un protocollo di crittografia asimmetrica, utilizzato per garantire sicurezza nei trasferimenti riservati di dati nel web, quindi di impedire a terzi di intercettare il contenuto dei pacchetti d'informazione che viaggiano in questo canale riservato.