BREACH
Browser Reconnaissance & Exfiltration via Adaptive Compression of Hypertext
関連する警告
「このサーバーにはBREACH攻撃に対する脆弱性があります。クロスサイトリクエストの場合、またはリクエストにヘッダーがない場合はHTTP圧縮を無効にしてください。CRIME脆弱性とは異なり、TLS圧縮を無効化しても解決することにはなりません。BREACHは基盤となるHTTPプロトコルでの圧縮を悪用します。」
問題
BREACH(Browser Reconnaissance and Exfiltration via Adaptive Compression of Hypertext)脆弱性の攻撃対象はHTTP圧縮です。攻撃者は、HTTPレベルでの圧縮の使用を操作して、HTTPSで保護されたデータから情報を抽出します。この情報には、Eメールアドレス、セキュリティトークン、およびその他の平文文字列が含まれます。
基本的に、攻撃者はTLSが有効化されたウェブサイトへの接続をブラウザに強制します。攻撃者は、MITM(中間者攻撃)を使用してユーザーとサイトサーバー間のトラフィックを監視します。
ソリューション
ウェブサーバ
PII(個人を特定できる情報)が含まれるページの圧縮を無効にします。
ウェブブラウザ
HTTP圧縮の使用を要求しないようにブラウザを強制します。
ウェブアプリケーション
AES-128暗号化への移行を検討します。
動的コンテンツでの圧縮サポートを削除します。
秘密をユーザー入力から隔離します。
レート制限リクエストを使用します。