问题 使用BREACH / CRIME attacK对HTTPS流量安全问题进行GZIP压缩?


例如,当我查看HTTP标头时 https://www.facebook.com 我看到他们使用GZIP压缩 内容编码:gzip 使用SSL / TLS流量。

因为BREACH / CRIME攻击,这不是一个坏主意吗?

curl -I -H 'Accept-Encoding: gzip,deflate' https://www.facebook.com
HTTP/1.1 200 OK
Pragma: no-cache
Cache-Control: private, no-cache, no-store, must-revalidate
Expires: Sat, 01 Jan 2000 00:00:00 GMT
Strict-Transport-Security: max-age=15552000; preload
Vary: Accept-Encoding
Content-Encoding: gzip
Content-Type: text/html
Date: Fri, 15 May 2015 18:56:11 GMT
Connection: keep-alive
Content-Length: 15101

根据 http://en.wikipedia.org/wiki/BREACH_%28security_exploit%29


5085
2018-05-15 19:01


起源
我建议读书 community.qualys.com/blogs/securitylabs/2013/08/07/... - Anand Bhat

答案:

当你有TLS加HTTP压缩(即gzip)时,存在BREACH。但它还需要:

  1. 响应正文中有用的秘密信息
  2. 攻击者必须能够使用请求参数将值注入响应主体
  3. 没有随机响应填充

注释:

  1. 黑客使用信用卡号码,密码,CSRF令牌,可能不会与你的GF聊天,但你永远不知道。

  2. 看起来很多输入响应(例如,顶部的搜索栏)是带外的,即响应超过AJAX,因此不会影响其他响应。

  3. Facebook可能会填补他们的回复,但我并没有深入研究这一点。


11
2018-05-15 22:54



热门问题

不使用eval / new函数的JavaScript模板库 当涉及内部类时,Java继承如何工作 .NET Windows服务的奇怪问题 在.ipa或.app下查找App ID 快速入门XSLT参考[关闭] 如何找出Android应用程序中未使用的资源 Ruby中并发的同步方法[重复] 将std :: chrono :: system_clock :: time_point转换为struct timeval并返回 Google Drive API V3(javascript)更新文件内容 Bootstrap 3.0 - 将元素推到底部 受密码保护的.NET ClickOnce部署? 如何用postgresql安装wordpress coq Set或Type如何成为命题 硒滚动元素进入(中心)视图 在Spring Transaction JUnit测试中自动装配Hibernate会话的正确方法 Git的Dockerfile策略 如何在FOS_PICKFOLDER中使用IFileDialog,同时仍在对话框中显示文件名 在Firefox扩展中复制Google Chrome浏览器操作弹出效果 CakePHP找到MAX 芹菜 - 完成任务的召唤功能 从使用fmemopen创建的流中读取宽字符 .NET是否为每个程序集创建一个字符串实习池? DefaultModelBinder不绑定嵌套模型 Navigator.MediaDevices.getUserMedia()使用了哪些相机通信标准? 选择命名空间名称时应该知道什么? cout Swagger Codegen CLI Java客户端 - 如何正确使用它 一个很好的哈希函数用于采访整数,字符串? Maven 3 ciManagement配置的目的是什么? 如何通过语言文化获取代码页?
licensed under cc by-sa 3.0 with attribution.
隐私政策 往来