Beveiligingsonderzoekers zijn er in geslaagd om weer een beveiligingsprobleem te ontdekken in SSL.
Hierdoor zijn https websites weer minder veilig.
Door platte tekst aan een HTTPS-request van het slachtoffer toe te voegen, kan een aanvaller door de grootte te meten, informatie over het HTTPS-antwoord van de website achterhalen.
Om een wachtwoord uit het HTTPS-antwoord te achterhalen, moet de aanvaller dit karakter voor karakter raden, door steeds twee HTTPS-verzoeken te versturen. Een correcte gok zal in een kleiner HTTPS-antwoord resulteren.
Bij een token met een lengte van 32 en een karakterruimte van 16, zoals bijvoorbeeld hexadecimaal, heeft een aanvaller gemiddeld 1.000 verzoeken nodig.
In de praktijk blijkt dat het mogelijk is om CSRF-tokens met minder dan 4.000 verzoeken te achterhalen, dus binnen de 30 seconden.
Echt zonde, SSL wordt de laatste tijd snel minder waard...