Skip to main content

BREACH

Browser Reconnaissance & Exfiltration via Adaptive Compression of Hypertext

関連する警告

「このサーバーにはBREACH攻撃に対する脆弱性があります。クロスサイトリクエストの場合、またはリクエストにヘッダーがない場合はHTTP圧縮を無効にしてください。CRIME脆弱性とは異なり、TLS圧縮を無効化しても解決することにはなりません。BREACHは基盤となるHTTPプロトコルでの圧縮を悪用します。」

問題

BREACH(Browser Reconnaissance and Exfiltration via Adaptive Compression of Hypertext)脆弱性の攻撃対象はHTTP圧縮です。攻撃者は、HTTPレベルでの圧縮の使用を操作して、HTTPSで保護されたデータから情報を抽出します。この情報には、Eメールアドレス、セキュリティトークン、およびその他の平文文字列が含まれます。

基本的に、攻撃者はTLSが有効化されたウェブサイトへの接続をブラウザに強制します。攻撃者は、MITM(中間者攻撃)を使用してユーザーとサイトサーバー間のトラフィックを監視します。

ソリューション

  • ウェブサーバ

    PII(個人を特定できる情報)が含まれるページの圧縮を無効にします。

  • ウェブブラウザ

    HTTP圧縮の使用を要求しないようにブラウザを強制します。

  • ウェブアプリケーション

    • AES-128暗号化への移行を検討します。

    • 動的コンテンツでの圧縮サポートを削除します。

    • 秘密をユーザー入力から隔離します。

    • レート制限リクエストを使用します。