В схеме шифрования JSON обнаружена критическая уязвимость
Служба безопасности Adobe сообщила о критической уязвимости в стандартной схеме шифрования JSON, которая позволяет злоумышленнику извлечь секретный ключ шифрования одного из участников защищенного соединения. Разработчикам, использующим библиотеки node-jose, go-jose, Nimbus JOSE+JWT, jose2go или jose4 с ECDH-ES, советуют скорее обновиться до последних версий.
Открытый стандарт JSON Web Token (JWT) относится к семейству OAuth, которое используется для создания токенов безопасности. Обнаруженный способ атаки полагается на эксплуатацию протоколов эллиптической криптографии, которые задействованы в процессе авторизации.
Эксперт из Adobe Антонио Сансо (Antonio Sanso) показал, как (очень) условно может работать программа злоумышленника. Для лучшего понимания методологии атаки исследователи могут также воспользоваться примерами уязвимого серверного кода и примером кода злоумышленника, опубликованными на GitHub.
Специалист из Paragon Скотт Арчишевски (Scott Arciszewski) призывает перестать использовать стандарт JWT, называя его по умолчанию ненадежным.
3К открытий3К показов
Составили подборку лучших VPN сервисов для Яндекс Браузера, рассказали о статусе VPN в России и протоколах, которые в них используются.
Telegram ввёл таргетированную рекламу для Восточной Европы. Теперь рекламу можно будет настраивать по IP-адресам и номерам телефонов.
JWT — это JSON Web Tokens, простой и безопасный способ передачи информации между клиентом и сервером с помощью шифрования.
Перед вами 10 задачек, связанных с шифрами, кодами и хешами. Попробуйте пройти все от простого шифра Цезаря до взлома хеш-функции!