Исходное сообщение
"ALPACA - новая техника MITM-атак на HTTPS" Отправлено Sw00p aka Jerom, 09-Июн-21 23:04
>Передавай внутри POST-данных любые команды написано же "Для успешной атаки злоумышленнику требуется затем каким-то образом извлечь сохранённое содержимое.", а каким - не сказано. Ибо так просто взять и отправить пост от имени bank.com не получится. Далее они предлагают, чтобы заманить жертву на подконтрольный левый сайт и там уже пытаться что-то сделать, но тут может не сработать из-за CORS. "Например, при открытии пользователем страницы, подконтрольной атакующим, с этой страницы может быть инициирован запрос ресурса с сайта, на котором у пользователя имеется активная учётная запись (например, bank.com)." Инициация этого запроса под вопросом.