CRIME

Compression Ratio Info-leak Made Easy

関連エラー

"このサーバーは CRIME 攻撃に対して脆弱性があります。TLSv1.2 プロトコルがお使いのサーバーで有効になっているかを確認し、SSL/TLS 圧縮を無効にします。"

問題

トランスポート層セキュリティ (TLS) プロトコルには、サーバーとブラウザとの間を通過したデータを圧縮できる機能 (TLS 圧縮) が含まれています。この機能を使用して、大量データの暗号化と復号に関連した帯域幅とレーテンシー問題を抑えます。TLS 圧縮をクライアントサイドのハローメッセージに追加します。TLS 圧縮を含めるかどうかは任意です。

CRIME(Compression Ratio Info-leak Made Easy)攻撃で、攻撃者は、秘密認証 Cookie のコンテンツを復元し、この情報をもとに、認証したウェブセッションを乗っ取ります。攻撃者は、平文インジェクションと TLS 圧縮データ漏洩を利用して、脆弱性に便乗します。攻撃者は、ブラウザがウェブサイトにいくつか接続するように誘導します。次に、攻撃者は、各交換中にブラウザが送信した暗号テキストのサイズを比較し、暗号化通信の一部を確認し、そのセッションを乗っ取ります。

対処方法

  • サーバー (ウェブサイト) TLS データ圧縮とブラウザ TLS データ圧縮を無効にします。
  • gzip を修正して、SPDY で圧縮コンテクストの明確に分離ができるようにします。