BREACH

Browser Reconnaissance & Exfiltration via Adaptive Compression of Hypertext

関連警告

"サーバーは BREACH 攻撃に対して脆弱性があります。クロスサイト申請について、または申請にヘッダがない場合に HTTP 圧縮を無効にします。Crime 脆弱性とは違い、TLS 圧縮をオフにしても、解決にはなりません。BREACH は、基本となる HTTP プロトコルの圧縮を利用します。"

問題

BREACH(Browser Reconnaissance and Exfiltration via Adaptive Compression of Hypertext) 脆弱性は、HTTP 圧縮を標的にしています。攻撃者は、HTTP レベルの圧縮の使用を操作し、メールアドレス、セキュリティトークン、およびその他平文の文字列を含む HTTPS 保護データから情報を抽出します。

基本的に、攻撃者は、お使いのブラウザが TLS 対応ウェブサイトに強制的に接続されるように仕掛けます。中間攻撃(MITM;man-in-the-middle-attack)を利用し、お客様とサイトサーバーとの間のトラフィックをモニタリングします。

対処方法

  • ウェブサーバー
    PII (個人識別情報) を含むページの圧縮をオフにします。
  • ウェブブラウザ
    ブラウザが HTTP 圧縮使用に誘導されるように仕掛けます。
  • ウェブアプリケーション
    • 暗号 AES128 への移行を検討します。
    • 動的コンテンツの圧縮サポートを削除します。
    • 応答バディの秘密を少なくします。
    • レート制限申請を使用します。