RC4暗号の脆弱性を使ったセッションハイジャック手法が発表される
2015年7月23日 19:22
あるAnonymous Coward 曰く、 RC4暗号の脆弱性を使い、HTTPSでのWeb閲覧時にそのCookieを解読する新たな攻撃手法が見つかったそうだ(ITmedia)。
この攻撃は、JavaScriptを使ってRC4で暗号化されたリクエストを大量に送信させるというもの。その大量の暗号化されたリクエストの中から、Cookieなどの繰り返し送信されるデータを解読するというものである。
中間者攻撃が可能な状態でCookieが漏れた場合、サーバー側のCookieの取扱いによってはセッションハイジャックが行われる可能性がある。そのため公衆無線LANサービスを使う場合にはブラウザのRC4暗号を無効にするなどの対策が望ましい(RC4を無効にする方法)。
発見者はRC4 NOMOREというサイトを立ち上げて、RC4を使わないよう注意喚起を行っている。
スラドのコメントを読む | セキュリティセクション | セキュリティ
関連ストーリー: SSL 3.0の廃止を求めるRFC 7568がリリースされる 2015年06月30日 WindowsでURLのリダイレクトを悪用して認証情報を盗み取る手法が明らかに 2015年04月15日 生物学をモデルにした新しい暗号化方式、クラックはほぼ不可能 2014年04月10日 WordとExcelの暗号化機能に脆弱性 2005年01月22日