使用BREACH / CRIME attacK对HTTPS流量安全问题进行GZIP压缩?

时间:2015-05-15 19:01:36

标签: security ssl webserver

例如,当我查看https://www.facebook.com的HTTP标头时,我发现他们使用GZIP压缩内容编码:gzip 和SSL / TLS流量。

由于BREACH / CRIME攻击,这不是一个坏主意吗?

curl -I -H 'Accept-Encoding: gzip,deflate' https://www.facebook.com
HTTP/1.1 200 OK
Pragma: no-cache
Cache-Control: private, no-cache, no-store, must-revalidate
Expires: Sat, 01 Jan 2000 00:00:00 GMT
Strict-Transport-Security: max-age=15552000; preload
Vary: Accept-Encoding
Content-Encoding: gzip
Content-Type: text/html
Date: Fri, 15 May 2015 18:56:11 GMT
Connection: keep-alive
Content-Length: 15101

根据http://en.wikipedia.org/wiki/BREACH_%28security_exploit%29

1 个答案:

答案 0 :(得分:13)

当您使用TLS加HTTP压缩(即gzip)时,存在BREACH。但它也需要:

  1. 回复正文中有用的秘密信息
  2. 攻击者必须能够使用请求参数
  3. 将值注入响应正文
  4. 没有随机响应填充
  5. 评论:

    1. 黑客使用信用卡号,密码,CSRF代币,可能不会与你的GF聊天,但你永远不知道。

    2. 看起来很多输入响应(例如,顶部的搜索栏)是带外的,即响应超过了AJAX,所以不会影响其他响应。

    3. Facebook可能正在填补他们的回应,但我还没有深入研究过。