計算機網絡和信息集成教育部重點實驗室（bet356手机版唯一官网）
bat365 首頁 實驗室概況 研究隊伍 人才培養 科學研究及主要成果 開放與交流 科研資源共享 運行管理
2017年學術報告 學術報告 開放課題設置 合作項目 舉辦學術會議 --- 2017年學術報告 --- <strong>誰動了我的餅幹――HTTPS安全協議中Web Cookie的完整性和現實威脅</strong> 時間：2017年4月17日周一下午2點 地點：九龍湖計算機樓3樓會議室313 報告簡介：    Cookie在HTTP協議中用于狀态管理，對Web應用非常重要。然而，現有協議和浏覽器的實現中，對Cookie的完整性缺乏有效的保護，攻擊者通過中間人的方式可以通過明文的HTTP會話注入Cookie，覆蓋或屏蔽後續HTTPS加密會話中使用的Cookie。除了中間人方式，Web攻擊者還可以通過域名相關的網站實現這種攻擊。我們的論文通過深入的實證研究展示這種攻擊的原理、危害和現實世界中漏洞存在的普遍性。我們發現世界上許多重要的網站（包括Google, Bank of America, Amazon等）都存在Cookie注入攻擊的風險，同時也發現許多主流的浏覽器（包括Chrome, Firefox, Safari）的實現上也存在一些漏洞使這一威脅更加嚴重。我們在許多重要的應用中展示了這種攻擊的後果，包括在線賬号劫持、隐私洩露、支付劫持，給用戶帶來直接的财務損失。最後我們讨論了各種防範或降低這種攻擊風險的措施，包括 部署HSTS、修補浏覽器，以及我們自己開發的一個浏覽器擴展，它實現了Cookie在HTTP和HTTPS傳輸中更加嚴格的隔離。 報告人簡介：   段海新，博士，研究員，博士生導師。就職于清華大學網絡科學與網絡空間研究院，網絡和信息安全研究室主任，加州大學伯克利訪問學者。長期緻力于網絡安全相關的教學、科研和運行管理工作，多篇論文發表在國際頂級的網絡安全會議上，并獲國際安全頂級學術會議NDSS2016傑出論文獎，2016年中央網信辦組織的網絡安全“優秀人才獎”。主要研究興趣：網絡基礎設施（域名、路由、公鑰基礎設施等）安全、Web安全、入侵檢測和網絡測量等。聯系方式：duanhx@tsinghua.edu.cn, 個人主頁：http://netsec.ccert.edu.cn/duanhx     bet356手机版唯一官网計算機網絡和信息集成教育部重點實驗室 版權所有