English  简体中文
搜索   
首页 中心概况 新闻动态 科研成果 研究队伍 技术园地 公共信息 联系我们

清华大学段海新研究员来我室访问并举行学术报告


2017-05-25        撰稿人: 王泽


2017年06月10日,应林璟锵研究员邀请,清华大学段海新研究员访问实验室,并做了题为“谁动了我的饼干——HTTPS安全协议中Web Cookie的完整性和现实威胁”的学术报告。Cookie在HTTP协议中用于状态管理,对Web应用非常重要。然而,现有协议和浏览器的实现中,对Cookie的完整性缺乏有效的保护,攻击者通过中间人的方式可以通过明文的HTTP会话注入Cookie,覆盖或屏蔽后续HTTPS加密会话中使用的Cookie。除了中间人方式,Web攻击者还可以通过域名相关的网站实现这种攻击。报告通过深入的实证研究展示这种攻击的原理、危害和现实世界中漏洞存在的普遍性。报告展示了这种攻击在许多重要的应用中的后果,包括在线账号劫持、隐私泄露、支付劫持,给用户带来直接的财务损失。最后报告讨论了各种防范或降低这种攻击风险的措施,包括部署HSTS、修补浏览器,以及段海新研究组开发的一个浏览器扩展,它实现了Cookie在HTTP和HTTPS传输中更加严格的隔离。段老师还就HTTPS安全与来自各研究室的老师同学开展了深入交流。

 

段海新研究员2000年获得清华大学博士学位。他目前是清华大学网络与信息安全实验室主任,中国教育和科研网应急响应组(CCERT)负责人。他作为课题负责人承担国家自然科学基金、973、863等多项课题,他带领团队紧密结合工业界实际问题,发现了互联网基础设施和协议的一系列重要安全缺陷并提出了解决方案,多次推动国际上多个互联网公司、国际标准化组织改进产品或协议标准,在网络安全学术和工业界都产生了较大影响力。他的多项成果发表在网络和系统安全竞争最激烈的国际顶级学术会议上,并获得网络与分布式系统安全年会(NDSS)2016年“杰出论文奖”。


评论人:          
lois.local\

DCS 中心 版权所有
地址:北京市海淀区闵庄路甲89号 4号楼
联系电话:010-82546536 010-82546537
京ICP备05046059号