例如,当我查看 https://www.facebook.com 的 HTTP header 时我看到他们使用 GZIP 压缩 Content-Encoding: gzip 和 SSL/TLS 流量。
由于 BREACH/CRIME 攻击,这不是一个坏主意吗?
curl -I -H 'Accept-Encoding: gzip,deflate' https://www.facebook.com
HTTP/1.1 200 OK
Pragma: no-cache
Cache-Control: private, no-cache, no-store, must-revalidate
Expires: Sat, 01 Jan 2000 00:00:00 GMT
Strict-Transport-Security: max-age=15552000; preload
Vary: Accept-Encoding
Content-Encoding: gzip
Content-Type: text/html
Date: Fri, 15 May 2015 18:56:11 GMT
Connection: keep-alive
Content-Length: 15101
根据 http://en.wikipedia.org/wiki/BREACH_%28security_exploit%29
最佳答案
当您使用 TLS 加 HTTP 压缩(即 gzip)时,就存在 BREACH。但它也需要:
- 响应正文中有用的 secret 信息
- 攻击者必须能够使用请求参数将值注入(inject)响应正文
- 无随机响应填充
评论:
黑客在寻找信用卡号、密码、CSRF token ,并且可能不会与您的 GF 聊天,但您永远不会知道。
看起来很多输入响应(例如顶部的搜索栏)都是带外的,即响应是通过 AJAX 进行的,因此不会影响其他响应。
Facebook 可能会填充他们的回复,但我还没有深入研究。
关于security - GZIP 压缩对 HTTPS 流量安全问题的 BREACH/CRIME 攻击?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/30266931/