GZIP压缩在HTTPS流量中存在BREACH/CRIME攻击安全问题吗？

Question

GZIP压缩在HTTPS流量中存在BREACH/CRIME攻击安全问题吗？

13

例如，当我查看 https://www.facebook.com 的HTTP头时，我发现他们使用 GZIP 压缩 Content-Encoding: gzip 与 SSL/TLS 流量。

这不是因为 BREACH/CRIME 攻击一个坏主意吗？

curl -I -H 'Accept-Encoding: gzip,deflate' https://www.facebook.com
HTTP/1.1 200 OK
Pragma: no-cache
Cache-Control: private, no-cache, no-store, must-revalidate
Expires: Sat, 01 Jan 2000 00:00:00 GMT
Strict-Transport-Security: max-age=15552000; preload
Vary: Accept-Encoding
Content-Encoding: gzip
Content-Type: text/html
Date: Fri, 15 May 2015 18:56:11 GMT
Connection: keep-alive
Content-Length: 15101

根据http://en.wikipedia.org/wiki/BREACH_%28security_exploit%29

的说明。

- user1287145

我建议阅读https://community.qualys.com/blogs/securitylabs/2013/08/07/defending-against-the-breach-attack。 - Anand Bhat

1个回答

网页内容由stack overflow 提供, 点击上面的

可以查看英文原文，
原文链接

- Neil McGuigan · Accepted Answer

BREACH 是指在使用 TLS 和 HTTP 压缩（即 gzip）时存在的漏洞。但它还需要：

响应主体中有有用的保密信息
攻击者能够通过请求参数将值注入响应主体中
没有随机的响应填充

注释:

黑客们通常会窃取信用卡号码、密码、CSRF 令牌，而不是与你女友的聊天记录，但你永远无法确定。
看起来很多输入响应（例如顶部的搜索栏）都是离线的，即响应位于 AJAX 上，因此不会影响其他响应。
Facebook 可能会填充他们的响应，但我并没有深入研究过这一点。