Warning: file_get_contents(/data/phpspider/zhask/data//catemap/9/ssl/3.json): failed to open stream: No such file or directory in /data/phpspider/zhask/libs/function.php on line 167

Warning: Invalid argument supplied for foreach() in /data/phpspider/zhask/libs/tag.function.php on line 1116

Notice: Undefined index: in /data/phpspider/zhask/libs/function.php on line 180

Warning: array_chunk() expects parameter 1 to be array, null given in /data/phpspider/zhask/libs/function.php on line 181
Security GZIP压缩对HTTPS流量安全问题的攻击/犯罪攻击?_Security_Ssl_Webserver - Fatal编程技术网
Fatal编程技术网
  • security/
  • Security GZIP压缩对HTTPS流量安全问题的攻击/犯罪攻击?

Security GZIP压缩对HTTPS流量安全问题的攻击/犯罪攻击?

security ssl

Security GZIP压缩对HTTPS流量安全问题的攻击/犯罪攻击?,security,ssl,webserver,Security,Ssl,Webserver,例如,当我查看的HTTP头时,我看到它们使用GZIP压缩内容编码:GZIP和SSL/TLS通信 这不是一个坏主意吗?因为违反/犯罪攻击 curl -I -H 'Accept-Encoding: gzip,deflate' https://www.facebook.com HTTP/1.1 200 OK Pragma: no-cache Cache-Control: private, no-cache, no-store, must-revalidate Expires: Sat, 01 Jan

例如,当我查看的HTTP头时,我看到它们使用GZIP压缩内容编码:GZIP和SSL/TLS通信

这不是一个坏主意吗?因为违反/犯罪攻击

curl -I -H 'Accept-Encoding: gzip,deflate' https://www.facebook.com
HTTP/1.1 200 OK
Pragma: no-cache
Cache-Control: private, no-cache, no-store, must-revalidate
Expires: Sat, 01 Jan 2000 00:00:00 GMT
Strict-Transport-Security: max-age=15552000; preload
Vary: Accept-Encoding
Content-Encoding: gzip
Content-Type: text/html
Date: Fri, 15 May 2015 18:56:11 GMT
Connection: keep-alive
Content-Length: 15101
根据

当您使用TLS加HTTP压缩(ie gzip)时,就会出现漏洞。但它也要求:

  • 响应体中有用的秘密信息
  • 攻击者必须能够使用请求参数向响应体中注入值
  • 无随机响应填充
    • 评论:

  • 黑客在追查信用卡号码、密码、CSRF代币,可能不会和你的女朋友聊天,但你永远不会知道

  • 看起来很多输入响应(例如顶部的搜索栏)都是带外响应,即响应是通过AJAX进行的,所以不会影响其他响应

  • Facebook可能在夸大他们的反应,但我还没有深入探究

    • 我建议阅读