BREACH/CRIME attack 对 HTTPS 流量安全问题的 GZIP 压缩?
GZIP compression on HTTPS traffic security issue with BREACH/CRIME attacK?
例如,当我查看 https://www.facebook.com 的 HTTP header 时,我发现他们使用 GZIP 压缩 Content-Encoding: gzip有 SSL/TLS 流量。
由于 BREACH/CRIME 攻击,这不是一个坏主意吗?
curl -I -H 'Accept-Encoding: gzip,deflate' https://www.facebook.com
HTTP/1.1 200 OK
Pragma: no-cache
Cache-Control: private, no-cache, no-store, must-revalidate
Expires: Sat, 01 Jan 2000 00:00:00 GMT
Strict-Transport-Security: max-age=15552000; preload
Vary: Accept-Encoding
Content-Encoding: gzip
Content-Type: text/html
Date: Fri, 15 May 2015 18:56:11 GMT
Connection: keep-alive
Content-Length: 15101
根据http://en.wikipedia.org/wiki/BREACH_%28security_exploit%29
当您使用 TLS 加 HTTP 压缩(即 gzip)时,存在 BREACH。但它也需要:
- 响应正文中有用的秘密信息
- 攻击者必须能够使用请求参数将值注入响应正文
- 无随机响应填充
评论:
黑客正在寻找信用卡号、密码、CSRF 令牌,并且可能不会与您的 GF 聊天,但您永远不会知道。
看起来很多输入响应(例如顶部的搜索栏)都是带外的,即响应结束 AJAX 所以不影响其他回复。
Facebook 可能会填充他们的回复,但我还没有深入研究。
例如,当我查看 https://www.facebook.com 的 HTTP header 时,我发现他们使用 GZIP 压缩 Content-Encoding: gzip有 SSL/TLS 流量。
由于 BREACH/CRIME 攻击,这不是一个坏主意吗?
curl -I -H 'Accept-Encoding: gzip,deflate' https://www.facebook.com
HTTP/1.1 200 OK
Pragma: no-cache
Cache-Control: private, no-cache, no-store, must-revalidate
Expires: Sat, 01 Jan 2000 00:00:00 GMT
Strict-Transport-Security: max-age=15552000; preload
Vary: Accept-Encoding
Content-Encoding: gzip
Content-Type: text/html
Date: Fri, 15 May 2015 18:56:11 GMT
Connection: keep-alive
Content-Length: 15101
根据http://en.wikipedia.org/wiki/BREACH_%28security_exploit%29
当您使用 TLS 加 HTTP 压缩(即 gzip)时,存在 BREACH。但它也需要:
- 响应正文中有用的秘密信息
- 攻击者必须能够使用请求参数将值注入响应正文
- 无随机响应填充
评论:
黑客正在寻找信用卡号、密码、CSRF 令牌,并且可能不会与您的 GF 聊天,但您永远不会知道。
看起来很多输入响应(例如顶部的搜索栏)都是带外的,即响应结束 AJAX 所以不影响其他回复。
Facebook 可能会填充他们的回复,但我还没有深入研究。