Compressione GZIP sul problema di sicurezza del traffico HTTPS con ATTACK BREACH/CRIME?

Ad esempio, quando visualizzo l'intestazione HTTP di https://www.facebook.com, vedo che utilizzano la compressione GZIP Codifica contenuto: gzip con traffico SSL/TLS.Compressione GZIP sul problema di sicurezza del traffico HTTPS con ATTACK BREACH/CRIME?

Non è una cattiva idea a causa dell'attacco BREACH/CRIME?

curl -I -H 'Accept-Encoding: gzip,deflate' https://www.facebook.com 
HTTP/1.1 200 OK 
Pragma: no-cache 
Cache-Control: private, no-cache, no-store, must-revalidate 
Expires: Sat, 01 Jan 2000 00:00:00 GMT 
Strict-Transport-Security: max-age=15552000; preload 
Vary: Accept-Encoding 
Content-Encoding: gzip 
Content-Type: text/html 
Date: Fri, 15 May 2015 18:56:11 GMT 
Connection: keep-alive 
Content-Length: 15101

Secondo http://en.wikipedia.org/wiki/BREACH_%28security_exploit%29

fonte

2015-05-15 Anonymous

Suggerisco di leggere https://community.qualys.com/blogs/securitylabs/2013/08/07/defending-against-the-breach-attack –

VIOLAZIONE esiste quando si dispone di TLS più la compressione HTTP (ad esempio gzip). Ma richiede anche:

utili, informazioni segrete nel corpo risposta
malintenzionato deve essere in grado di iniettare un valore nel corpo di risposta con un parametro di richiesta
alcuna risposta casuale imbottitura

Commenti:

hacker sono dopo i numeri di carte di credito, password, token CSRF, e probabilmente non chiacchierai con il tuo GF, ma non lo saprai mai.
Sembra che molte delle risposte di input (barra di ricerca in alto, ad esempio) siano out-of-band, ovvero la risposta è su AJAX, quindi non influisce su altre risposte.
Facebook potrebbe riempire le loro risposte, ma non ho approfondito troppo in questo.

fonte

2015-05-15 22:54:17

Compressione GZIP sul problema di sicurezza del traffico HTTPS con ATTACK BREACH/CRIME?

risposta

Problemi correlati