Das Software Engineering Institute CarnegieMellon, das im Auftrag von der Homeland-Security-Behörde der USA arbeitet, hat vor möglichen Sicherheitslecks in komprimierten HTTPS-Verbindungen gewarnt. Im Bericht heißt es, dass sich darüber Klartext-Botschaften aus dem ansonsten verschlüsselten Stream herauslesen lassen. Derzeit lasse sich das Problem nicht zuverlässig lösen, sondern nur mit der Deaktivierung der HTTP-Kompression und weiteren Schritten auf Serverseite umgehen.
Durchgeführt wird die Attacke in Form eines Man-in-the-middle-Angriffs, bei dem dem HTTPS-Server gezinkte Pakete…
↧