Skip to main content

CRIME

Compression Ratio Info-leak Made Easy

Entsprechender Fehler

„Der Server ist durch CRIME-Angriffe gefährdet. Aktivieren Sie das TLS 1.2-Protokoll auf Ihrem Server und deaktivieren Sie die SSL/TLS-Komprimierung.“

Problem

Das TLS-Protokoll (Transport Layer Security) enthält eine Funktion (TLS-Komprimierung), die es Ihnen erlaubt, Daten, die zwischen dem Server und dem Browser ausgetauscht werden, zu komprimieren. Sie verwenden diese Funktion, um die Bandbreiten- und Verzögerungsprobleme im Zusammenhang mit der Verschlüsselung und Entschlüsselung großer Datenmengen zu reduzieren. Die TLS-Komprimierung wird zur Client-Hello-Meldung hinzugefügt. Die TLS-Komprimierung ist optional.

Bei einem CRIME-Angriff (Compression Ratio Info-leak Made Easy) greift der Angreifer auf den Inhalt geheimer Authentifizierungscookies zu und verwendet diese Informationen zur Übernahme einer authentifizierten Internetsitzung. Der Angreifer nutzt eine Kombination aus Klartextinjektion und Datenlecks der TLS-Komprimierung zur Ausnutzung der Sicherheitsanfälligkeit. Der Angreifer verleitet den Browser, mehrere Verbindungen zu der Website herzustellen. Der Angreifer vergleicht dann das Format des Chiffretexts, den der Browser bei jedem Austausch sendet, um Teile der verschlüsselten Kommunikation zu bestimmen, und die Sitzung zu übernehmen.

Lösung

  • Deaktivieren TLS-Datenkomprimierung auf dem Server (Website) und im Browser.

  • Modifizieren Sie gzip, um eine explizite Trennung der Komprimierungskontexte in SPDY zu ermöglichen.