Härom veckan meddelade säkerhetsforskarna Juliano Rizzo och Thai Duong att de hittat säkerhetshål i protokollen tls och ssl, som används i säkra https-anslutningar. De gör det möjligt att göra intrång på webbsidor där användare hittills känt sig säkra.

Forskarna var först hemlighetsfulla om hur de hackat protokollen, men kryptografiexperten Thomas Pornin från Kanada skriver på en fråga-svar-sida på internet om att det handlade om komprimeringen i tls och ssl.

Trots att hacket inte var tänkt att avslöjas förrän under en säkerhetskonferens i Argentina den här veckan bekräftade ändå Juliano Rizzo, via mejl, att det var just komprimeringen det handlade om, men att även protokollet spdy är drabbat av samma säkerhetshål.

Säkerhetsforskarnas ssl-hack går under namnet Crime. Det dekrypterar https-kakor som sparas av webbsidor för att komma ihåg inloggningsuppgifter genom en så kallad brute force-attack.

Attacken tvingar en användares webbläsare att skicka speciella https-förfrågningar till webbsidan som attackeras och jämför sedan variationer i längd efter de komprimerats för att kunna avgöra värdet hos den drabbade användarens sessionskaka.

Anledningen till att attacken är möjlig är att ssl/tls och spdy-protokollen, en speciell komprimeringsalgoritm som kallas Deflate, ersätter redan existerande strängar med hänvisningar till den första strängen se faktaruta. Ju längre sträng som ersätts, desto kortare blir förfrågningarna. Genom att sedan jämföra längden på förfrågningarna går det att räkna ut ett värde.

Stöd för tls-komprimering är välspritt bland webbsidor. Enligt mätverktyget SSL Pulse har drygt fyra av tio servrar stöd för tls-komprimering, men stödet bland klienter är betydligt mindre. Enligt en mätning från säkerhetsföretaget Qualys handlar det endast om en av tio klienter som har stöd för tls-komprimering.