CALZAVARA, Stefano, Riccardo FOCARDI, Matúš NEMEC, Alvise RABITTI a Marco SQUARCINA. Postcards from the Post-HTTP World: Amplification of HTTPS Vulnerabilities in the Web Ecosystem. Online. In Proceedings of the 40th IEEE Symposium on Security and Privacy. San Fransisco, CA, US: IEEE, 2019, s. 281-298. ISBN 978-1-5386-6660-9. Dostupné z: https://dx.doi.org/10.1109/SP.2019.00053.
Další formáty:   BibTeX LaTeX RIS
Základní údaje
Originální název Postcards from the Post-HTTP World: Amplification of HTTPS Vulnerabilities in the Web Ecosystem
Autoři CALZAVARA, Stefano (380 Itálie), Riccardo FOCARDI (380 Itálie), Matúš NEMEC (703 Slovensko, domácí), Alvise RABITTI (380 Itálie) a Marco SQUARCINA (380 Itálie).
Vydání San Fransisco, CA, US, Proceedings of the 40th IEEE Symposium on Security and Privacy, od s. 281-298, 18 s. 2019.
Nakladatel IEEE
Další údaje
Originální jazyk angličtina
Typ výsledku Stať ve sborníku
Obor 10201 Computer sciences, information science, bioinformatics
Stát vydavatele Spojené státy
Utajení není předmětem státního či obchodního tajemství
Forma vydání elektronická verze "online"
WWW URL
Kód RIV RIV/00216224:14330/19:00107250
Organizační jednotka Fakulta informatiky
ISBN 978-1-5386-6660-9
ISSN 1081-6011
Doi http://dx.doi.org/10.1109/SP.2019.00053
UT WoS 000510006100017
Klíčová slova anglicky TLS; HTTPS; security vulnerability; Internet scan; Web security
Štítky core_A, firank_1
Příznaky Mezinárodní význam, Recenzováno
Změnil Změnil: RNDr. Pavel Šmerk, Ph.D., učo 3880. Změněno: 28. 4. 2020 07:53.
Anotace
HTTPS aims at securing communication over the Web by providing a cryptographic protection layer that ensures the confidentiality and integrity of communication and enables client/server authentication. However, HTTPS is based on the SSL/TLS protocol suites that have been shown to be vulnerable to various attacks in the years. This has required fixes and mitigations both in the servers and in the browsers, producing a complicated mixture of protocol versions and implementations in the wild, which makes it unclear which attacks are still effective on the modern Web and what is their import on web application security. In this paper, we present the first systematic quantitative evaluation of web application insecurity due to cryptographic vulnerabilities. We specify attack conditions against TLS using attack trees and we crawl the Alexa Top 10k to assess the import of these issues on page integrity, authentication credentials and web tracking. Our results show that the security of a consistent number of websites is severely harmed by cryptographic weaknesses that, in many cases, are due to external or related-domain hosts. This empirically, yet systematically demonstrates how a relatively limited number of exploitable HTTPS vulnerabilities are amplified by the complexity of the web ecosystem.
Návaznosti
GA16-08565S, projekt VaVNázev: Rozvoj kryptoanalytických metod prostřednictvím evolučních výpočtů
Investor: Grantová agentura ČR, Advancing cryptanalytic methods through evolutionary computing
MUNI/A/1040/2018, interní kód MUNázev: Zapojení studentů Fakulty informatiky do mezinárodní vědecké komunity 19 (Akronym: SKOMU)
Investor: Masarykova univerzita, Zapojení studentů Fakulty informatiky do mezinárodní vědecké komunity 19, DO R. 2020_Kategorie A - Specifický výzkum - Studentské výzkumné projekty
VytisknoutZobrazeno: 27. 9. 2024 00:23