GZIP压缩对HTTPS流量安全问题的破坏/犯罪attacK?
GZIP压缩对HTTPS流量安全问题的破坏/犯罪attacK?
提问于 2015-05-15 19:01:36
例如,当我查看https://www.facebook.com的header时,我看到它们使用了GZIP压缩内容-编码:带有SSL/TLS流量的gzip。
这不是因为违规/犯罪袭击而不是个坏主意吗?
curl -I -H 'Accept-Encoding: gzip,deflate' https://www.facebook.com
HTTP/1.1 200 OK
Pragma: no-cache
Cache-Control: private, no-cache, no-store, must-revalidate
Expires: Sat, 01 Jan 2000 00:00:00 GMT
Strict-Transport-Security: max-age=15552000; preload
Vary: Accept-Encoding
Content-Encoding: gzip
Content-Type: text/html
Date: Fri, 15 May 2015 18:56:11 GMT
Connection: keep-alive
Content-Length: 15101回答 1
Stack Overflow用户
回答已采纳
发布于 2015-05-15 22:54:17
当您有TLS + HTTP压缩(即gzip)时,就会出现漏洞。但它也要求:
- 响应体中有用的秘密信息
- 攻击者必须能够使用请求参数将值注入响应体。
- 无随机响应填充
评论:
- 黑客正在寻找信用卡号码,密码,CSRF令牌,也许不是与你的GF聊天,但你永远不知道。
- 看起来很多输入响应(例如,顶部的搜索栏)都是带外的,即响应是通过AJAX的,所以不会影响其他响应。
- Facebook可能在充实他们的回应,但我并没有对此做太深入的研究。
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/30266931
复制相关文章
相似问题
腾讯云开发者
