2024

Постійне посилання на фонд

https://ela.kpi.ua/handle/123456789/73331

Переглянути

Перегляд 2024 за Ключові слова "004.056"

Зараз показуємо 1 - 2 з 2
  • Ескіз
    ДокументВідкритий доступ
    Автоматизація перевірки атрибутів сесійних файлів cookies
    (Institute of Special Communication and Information Protection of National Technical University of Ukraine “Igor Sikorsky Kyiv Polytechnic Institute”, 2024) Толкачова, Анастасія; Журавчак, Даниїл
    У цьому дослідженні ми зосереджуємо увагу на критично важливій темі веб-безпеки, а саме безпеці сесійних файлів cookies, які відіграють ключову роль у функціонуванні сучасних веб-додатків. Cookies, що є стандартним механізмом для зберігання даних на стороні клієнта, мають вирішальне значення для процесів автентифікації, авторизації та підтримки стану сесії користувача. Проте, не дивлячись на їхню необхідність і зручність, файли cookies також можуть становити серйозні ризики безпеки. Основна увага в нашому дослідженні приділяється аналізу та автоматизації перевірки атрибутів cookies, що є критично важливим для забезпечення захисту від різноманітних веб-атак. Виявлення і усунення слабких місць в атрибутах cookies може значно зменшити ризик зловмисних атак, таких як крадіжка сесій, атаки міжсайтового скриптингу (XSS) та атаки міжсайтового підроблення запитів (CSRF). Ми детально розглядаємо сучасні методи та інструменти для забезпечення безпеки cookies, включаючи впровадження строгих політик щодо атрибутів cookies, таких як Secure, HttpOnly та SameSite. Ці атрибути допомагають обмежити доступ до файлів cookies від неавторизованого використання через клієнтські скрипти, а також забезпечують додатковий захист від міжсайтових атак. Окрім того, ми розглядаємо важливість оновлення стандарту cookies, RFC6265bis, який пропонує поліпшені механізми безпеки, включно з атрибутом SameSite, що дозволяє контролювати надсилання cookies при перехресних запитах, тим самим знижуючи ризик CSRF атак. Наше дослідження також включає аналіз потенційних загроз і вразливостей, асоційованих з неправильним використанням або налаштуванням cookies, а також обговорення стратегій мінімізації цих ризиків. Ми демонструємо, як через детальну автоматизовану перевірку атрибутів cookies можна значно підвищити рівень безпеки вебдодатків. Результати дослідження вказують на необхідність постійного моніторингу та оцінки захисту сесійних файлів cookies, а також на важливість впровадження передових практик і стандартів безпеки для забезпечення надійності та безпеки веб-додатків.
  • Ескіз
    ДокументВідкритий доступ
    Фільтрувальні генератори гами зі змінними функціями переходів над скінченними полями характеристики 2
    (Institute of Special Communication and Information Protection of National Technical University of Ukraine “Igor Sikorsky Kyiv Polytechnic Institute”, 2024) Матійко, Александра; Олексійчук, Антон
    Фільтрувальні генератори гами є традиційною основою для створення синхронних потокових шифрів. Вони будуються за допомогою лінійних регістрів зсуву (як правило, над полем з двох елементів) та нелінійних функцій ускладнення, до яких висувається низка вимог з погляду стійкості генераторів відносно відомих атак. Інтенсивні дослідження фільтрувальних генераторів гами протягом останніх десятиліть показують, що задовольнити зазначені вимоги, не погіршуючи продуктивність генераторів, виявляється дуже складною задачею. Попри велику кількість публікацій, присвячених побудові функцій ускладнення з відомими “гарними криптографічними властивостями”, застосування таких функцій на практиці часто-густо стає неприйнятим внаслідок громіздкості їхніх конструкцій, що уповільнює функціонування відповідних генераторів, особливо при програмній реалізації. У статті пропонується спосіб подолання відзначених труднощів шляхом застосування додаткового секретного параметра, що визначає вигляд функції переходів генератора. Така модифікація надає змогу підвищити стійкість генератора (в порівнянні з традиційними фільтрувальними генераторами гами) відносно відомих атак, не збільшуючи довжину його початкового стану. Зокрема, розглянуто конкретний варіант побудови генератора з функцією ускладнення, яка визначається за допомогою підстановок, що використовуються в алгоритмі шифрування “Калина”. Отримано нижню оцінку періодів вихідних послідовностей запропонованих генераторів. Проведено також дослідження їхньої стійкості відносно відомих атак, зокрема, атаки балансування типу Беббіджа-Голіча; атаки, пов’язаної з малою кількістю доданків у поліноміальному представленні функції ускладнення (що негативно відбивається на значенні еквівалентної лінійної складності вихідних послідовностей генератора); природної кореляційної атаки, пов’язаної зі специфікою запропонованої схеми побудови генератора; алгебраїчних атак типу Куртуа-Майєра. На завершенні статі зазначено, як вибирати компоненти запропонованих генераторів гами для забезпечення їхньої стійкості на заздалегідь визначеному рівні.