荷兰研究人员Guido Vranken在发表的论文中指出,他在TLS/LLS加密流量中发现一种新型攻击方法,可允许攻击者从HTTPS数据流中窃取信息。
Vranken指出这种攻击(HTTPS Bicycle Attack)允许攻击者监控HTTPS流量并且能够决定位于TLS保护层下面交换的数据长度。攻击者可窃取的信息包括cookie头信息的长度、POST请求中发送的密码长度、GPS坐标、IPv4地址以及其他包含在TLS加密HTTP流量中的压缩信息。
Vranken所述的攻击方法完全无法被检测出来,而且能够被应用于多年前曾经记录的HTTPS流量中。不过这种攻击方法的前提是首先HTTPS流量必须利用一种基于流的密码,然后攻击者必须在能提取HTTPS数据包的具体部分详情之前知道余下信息的长度。当满足这些条件时,执行该攻击就很简单了。从攻击者的角度来说,他们只要从用户验证操作中捕获到HTTPS数据包就可以。知道了受害者的用户名、登录URL以及其他信息之后,HTTPS数据包中剩下的信息只有用户的密码长度。只需简单做下运算,攻击者就能够获取用户的密码长度,当攻击者试图暴力攻陷一个账户时,这些信息就变得非常有用。
不过从目前情况来看,这种攻击手法只是在理论上成立,但这对于信息安全研究人员来说已经足够严重,他们需要重新考虑在验证过程中使用经典密码的做法了,而且必须加快其它验证方法的使用。
为了免受此类攻击的影响。研究人员建议网站管理员关闭对TLS流密码的支持,并且一直使用TLS协议的最新版本,此外通过HTTPS对所有敏感信息添加内容以掩盖其真实长度。