LINUX.ORG.RU

Сжатие + шифрование динамического контента

 , , ,


0

3

Дыры в SSL/TLS из-за использования сжатия перед шифрованием:

  • BEAST - 2011 год
  • CRIME - 2012 год
  • BREACH - 2013 год

Но все сайты по-прежнему используют gzip для динамического контента. Даже интернет-банки, даже ЛОР, лол. Всем настолько пофиг?

Всем известно, что дыры работают в этих ваших комплюхтерах.
Даже интернет-банки, даже ЛОР, лол. Всем настолько пофиг?

Deleted ()
Ответ на: комментарий от EvilFox

BREACH - это же не только CSRF-токены. Всю страницу со случайными данными не смешаешь.

Можно рандомизировать длину ответа, добавляя случайные данные, но кто-то так делает?

А ещё по ссылке «эксперты по безопасности» предлагают бороться с BREAH, запрещая указывать в запросе произвольный referer. Подобное вообще забавляет. Примерно как поставить запертые ворота посреди пустыни и гордиться, что никто через них не пройдёт. Другие «эксперты», например, утверждали, что для борьбы с BREACH достаточно использовать same-site cookies. Ибо BREACH, помимо всего прочего, облегчает CSRF. А same-site cookies, как известно, решают проблему CSRF. Поэтому они решают проблему BREACH. Логека.

anonymous ()
Ответ на: комментарий от anonymous

А ещё по ссылке «эксперты по безопасности» предлагают бороться с BREAH, запрещая указывать в запросе произвольный referer.

Как это? По ссылке не ходил, но вроде бороться должно помогать отключение сжатия вообще везде при отсутствии реферера, или реферере со стороны. Как с реализацией не знаю, но кажется на это забили.

imul ★★★★★ ()
Последнее исправление: imul (всего исправлений: 1)

Дыры в SSL/TLS из-за использования сжатия перед шифрованием:

Это не дыры, а дырищи, значит. Сжатие не должно влиять не стойкость шифрования. Если влияет, то грош цена такому шифрованию.

peregrine ★★★★★ ()