サードパーティのドメインから圧縮されたSSLプロトコルを使用して静的資産を提供する際にリスクはありますか?


2

curl -v -H 'Accept-Encoding: gzip' 'https://cdnjs.cloudflare.com/ajax/libs/Colors.js/1.2.2/colors.min.js' 

ご覧のとおり、結果はgzippedです。

私の前提は、サードパーティのドメインから提供されているため、私にとって安全です。自分のドメインから配信されるときにのみ無効にする必要があります。

+2

ファイルの内容が秘密ではないため、安全である必要があります。 CRIMEは真正性ではなく機密性を破っただけです。 13 8月. 132013-08-13 18:17:02

12

最初に、ではなく、ではSSLレベルの圧縮を使用しますが、HTTPレベルの圧縮では圧縮のモードを示すHTTPヘッダーがあります。圧縮はHTTP応答本体のみ、つまりcolors.min.jsファイルに適用されます。他のもの、特にHTTPクッキーなどの値は除きます。 秘密値に適用されると、攻撃者が多くの例の変種で、それらのすべてに繰り返し同じ秘密を持つ圧縮データの、だけでなく、を取得する可能性がある場合

圧縮は安全ではありません。特に、攻撃者が圧縮されたデータシーケンス内で彼が選択したデータに挿入すると、

あなたが表示する場合、秘密のデータはまったくありません。圧縮されたデータシーケンスは完全に公開されたJavascriptです。圧縮は、データのコンテンツの情報を、データの長さ(そしての長さはで、その後の暗号化によって保護されません)に関する情報を漏らす能力によって悪用されます。ソースデータが完全に公開されている場合は、リークする情報がないため、攻撃はありません。

colors.min.jsはパブリックですが、あなたはまだない機密のためではなく、整合性ため、HTTPS経由で取得したい:あなたはその場でJavascriptのコードを変更することから、アクティブな攻撃を防ぎたい)

でも圧縮されたデータが公開されていない場合は、圧縮が決定的であり、毎回まったく同じバイト列が得られるため、静的ファイルは圧縮された状態で提供される可能性があります。アタッカー。

  0

ありがとう、私はちょっとSSL圧縮とHTTP圧縮で混乱しています。1. SSL圧縮を使用している公開サイトの例はありますか?カールで確認できますか? 2.データが秘密であれば、HTTP圧縮もセキュリティを傷つけると思います。 14 8月. 132013-08-14 03:54:42

  0

SSL圧縮は、CRIME攻撃の後にはどこからでもほとんど無効になっています。私は 'カール'がそれを示すとは思わない。これはSSLライブラリの内部にあります。 'openssl s_client'はサーバーが圧縮を許可するかどうかを教えてくれますが、現代のWebブラウザーはこれをサポートしていないので、実際には使用されません。 14 8月. 132013-08-14 10:44:40

  0

HTTPレベルの圧縮は、圧縮されているものが、同じレスポンスボディ内で、秘密データと攻撃者が選択したデータの両方を含む場合に致命的です。明らかに、これは一部のWebサイトで発生する可能性があります。いわゆる「BREACH攻撃」はそのようなことのデモンストレーションだと思われる。これは、Webサイトとその構造によって異なります。一般に、「静的ページ」は、静的であることによって攻撃者が選択したデータを含まないため、安全に圧縮できます。 14 8月. 132013-08-14 10:47:27

  0

だから、ほとんどのサーバーではほとんどのSSL圧縮はデフォルトでは無効になっていますが、HTTP圧縮(SSL経由)はまだ非常に普及しています。 15 8月. 132013-08-15 09:11:23

+1

SSL以外のすべてに対して圧縮を維持できます。 SSLで保護されているものについては、静的ページの圧縮を安全に保つことができます。動的に生成されるものについては、まあ...それは依存します。だから、_generic_安全なことは、SSLを介して提供されるすべての動的ページに対してHTTPレベルの圧縮を無効にすることです。 15 8月. 132013-08-15 11:05:22

  0

ありがとう、私はYahooがログインページのSSLを介してgzipコンテンツを返すときに問題があるようだと言うことができますか? curl -I -H 'Accept-Encoding:gzip' 'https://login.yahoo.com/config/login' 16 8月. 132013-08-16 16:16:37