BREACH

ハイパーテキストの適応圧縮によるブラウザ復元と抽出

関連警告

"サーバは BREACH 攻撃に対して脆弱性があります。クロスサイト要求について、または要求にヘッダがない場合に HTTP 圧縮を無効にします。Crime 脆弱性とは違い、TLS 圧縮をオフにしても、解決にはなりません。BREACH は、基本となる HTTP protocol.プロトコルの圧縮を利用します。"

問題

BREACH(Browser Reconnaissance and Exfiltration via Adaptive Compression of Hypertext) 脆弱性は、HTTP 圧縮を標的にしています。攻撃者は、HTTP レベルの圧縮の使用を操作し、メールアドレス、セキュリティトークン、およびその他平文の文字列を含む HTTPS 保護データから情報を抽出します。

基本的に、攻撃者は、お使いのブラウザが TLS 対応ウェブサイトに強制的に接続されるように仕掛けます。中間攻撃(MITM;man-in-the-middle-attack)を利用し、お客様とサイトサーバとの間のトラフィックをモニタリングします。

対処方法

  • ウェブサーバ
    PII (個人識別情報) を含むページの圧縮をオフにします。
  • ウェブブラウザ
    ブラウザが HTTP 圧縮使用に誘導されるように仕掛けます。
  • ウェブアプリケーション
    • 暗号 AES128 への移行を検討します。
    • 動的コンテンツの圧縮サポートを削除します。
    • 応答バディの秘密を少なくします。
    • レート制限要求を使用します。