BREACH

Browser Reconnaissance & Exfiltration via Adaptive Compression of Hypertext

Avvertenza correlata

"Questo server è vulnerabile ad un attacco BREACH. Disabilita la compressione HTTP per le richieste inter-sito o quando l’intestazione non è presente in una richiesta. Diversamente da una vulnerabilità Crime, la disattivazione della compressione TLS non è una soluzione. BREACH sfrutta la compressione nel protocollo HTTP sottostante."

Problema

La vulnerabilità Browser Reconnaissance and Exfiltration via Adaptive Compression of Hypertext (BREACH) punta alla compressione HTTP. Il pirata manipola l’uso della compressione di livello HTTP per estrarre informazioni dai dati protetto da HTTPS, compresi indirizzi e-mail, token di sicurezza e altre stringhe di testo normale.

Fondamentalmente, il pirata obbliga il browser a collegarsi ad un sito web abilitato TLS. Usando un attacco MITM (man-in-the-middle), monitora il traffico tra te e il server del sito.

Soluzione

  • Server web
    Disattiva la compressione per le pagine che includono le informazioni PII (Personally Identifiable Information).
  • Browser web
    Obbliga il browser a non invitare l’uso della compressione HTTP.
  • Applicazioni web
    • Considera di trasferirti a Cipher AES128.
    • Rimuovi il supporto compressione sul contenuto dinamico.
    • Riduci i segreti nelle risposte suggerite.
    • Usa richieste di limite percentuale.

Informazioni

DigiCert è il primo fornitore al mondo di certificati digitali ad alta garanzia, fornendo SSL e KPI private e gestite sicuri e certificati dispositivo per il mercato emergente delle IoT. Dalla nostra fondazione avvenuta quindici anni fa, l’idea di trovare un modo migliore ha stuzzicato la nostra mente. Un modo migliore per fornire l’autenticazione su Internet. Un modo migliore per creare soluzioni su misura per le esigenze dei nostri clienti. Adesso abbiamo aggiunto l’esperienza di Symantec e il talento alla nostra eredità di innovazione per trovare un modo migliore per far progredire il settore e costruire una maggiore fiducia nell’identità e nelle interazioni digitali.

©2019 DigiCert, Inc. Tutti i diritti riservati. DigiCert e il rispettivo logo sono marchi registrati di DigiCert, Inc. Symantec e Norton e i relativi loghi sono marchi utilizzati su licenza di Symantec Corporation. Altri nomi possono essere marchi dei rispettivi titolari.