<html><head><meta http-equiv="Content-Type" content="text/html charset=iso-8859-1"><meta http-equiv="Content-Type" content="text/html charset=iso-8859-1"></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; ">These SSL attacks are getting silly. Use of bearer tokens is not a viable authentication approach when an attacker can mount an adaptive chosen plaintext attack.<div><br></div><div>I wrote the following in response to CRIME:</div><div><br></div><div><a href="http://www.ietf.org/id/draft-hallambaker-httpsession-01.txt">http://www.ietf.org/id/draft-hallambaker-httpsession-01.txt</a></div><div><br></div><div><br></div><div>The basic idea is that instead of passing authentication cookies over the wire repeatedly, the secret is passed ONCE and after that the parties only exchange knowledge of the token. It has been submitted to the WebSec working group but nobody has commented to date. I was waiting for BlackHat</div><div><br></div><div><br></div><div><div><br></div><div><br></div><div><br><div><div>On May 29, 2013, at 10:07 AM, Rob Stradling <<a href="mailto:rob.stradling@comodo.com">rob.stradling@comodo.com</a>> wrote:</div><br class="Apple-interchange-newline"><blockquote type="cite"><a href="https://www.blackhat.com/us-13/briefings.html#Prado">https://www.blackhat.com/us-13/briefings.html#Prado</a><br><br>"SSL, GONE IN 30 SECONDS - A BREACH BEYOND CRIME<br>In this hands-on talk, we will introduce new targeted techniques and <br>research that allows an attacker to reliably retrieve encrypted secrets <br>(session identifiers, CSRF tokens, OAuth tokens, email addresses, <br>ViewState hidden fields, etc.) from an HTTPS channel. We will <br>demonstrate this new browser vector is real and practical by executing a <br>PoC against a major enterprise product in under 30 seconds. We will <br>describe the algorithm behind the attack, how the usage of basic <br>statistical analysis can be applied to extract data from dynamic pages, <br>as well as practical mitigations you can implement today. We will also <br>describe the posture of different SaaS vendors vis-à-vis this attack. <br>Finally, to provide the community with ability to build on our research, <br>determine levels of exposure, and deploy appropriate protection, we will <br>release the BREACH tool."<br><br>-- <br>Rob Stradling<br>Senior Research & Development Scientist<br>COMODO - Creating Trust Online<br><br>_______________________________________________<br>Public mailing list<br><a href="mailto:Public@cabforum.org">Public@cabforum.org</a><br>https://cabforum.org/mailman/listinfo/public<br></blockquote></div><br></div></div></body></html>