据我了解,如果我将 gzipping 与 SSL/HTTPS 一起使用,它会带来安全漏洞(违规/犯罪)。
如果我只在 CSS 和 JS 文件上使用它,如果这些文件通过 HTTPS 从我的服务器上提供,这仍然是一个安全漏洞吗?
据我了解,答案是否定的——这不是一个安全漏洞。 CRIME/BEAST 攻击注入选定的明文以揭示原始明文;在你的情况下,这将是 CSS 和 JavaScript,它们没有安全价值。 (大概,您通过 HTTPS 提供它们以避免浏览器上出现混合内容警告)。
该攻击无法揭露您的每会话对称密钥,因此假设它不使用 gzip/deflate,它就不会影响您的敏感内容。
当然,如果您希望 100% 确定,除了 gzip 之外,您还可以考虑分块编码,如本文所述:https://community.qualys.com/blogs/securitylabs/2013/08/07/defending-against-the-breach-attack https://community.qualys.com/blogs/securitylabs/2013/08/07/defending-against-the-breach-attack
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)