BREACH

Browser Reconnaissance & Exfiltration via Adaptive Compression of Hypertext

Связанное предупреждение

"Данный сервер уязвим для атаки BREACH. Отключите сжатие HTTP для межсайтовых запросов или когда заголовок отсутствует в запросе. В отличие от уязвимости Crime отключение сжатия TLS не является решением. BREACH использует сжатие в базовом протоколе HTTP."

Проблема

Уязвимость «Браузерное зондирование и эксфильтрация посредством адаптивного сжатия гипертекста» (BREACH) нацелена на сжатие HTTP. Злоумышленник манипулирует использованием сжатия на уровне HTTP для извлечения информации из данных, защищенных HTTPS, включая адреса электронной почты, токены безопасности и прочие строки простого текста.

По сути, злоумышленник заставляет ваш браузер подключаться к веб-сайту с поддержкой TLS. Используя MITM (атака с применением технологии «незаконный посредник»), они отслеживают трафик между вами и сервером сайта.

Способ устранения

  • Веб-сервер
    Отключите сжатие для страниц, которые включают PII (информация, позволяющая установить личность).
  • Веб-браузер
    Принудительно запретите браузеру использовать сжатие HTTP.
  • Веб-приложения
    • Рассмотрите возможность перехода на шифр AES128.
    • Удалите поддержку сжатия динамического контента.
    • Снизьте степень секретности при общении.
    • Используйте запросы на ограничение скорости передачи.

О проекте

Компания DigiCert является первым в мире премиальным поставщиком цифровых страховых сертификатов высокого уровня, предоставляя доверенные SSL, частные и управляемые развертывания PKI, а также сертификаты устройств для растущего рынка интернета вещей. С момента нашего основания почти пятнадцать лет назад нами руководила идея поиска лучшего пути. Лучшего пути аутентификации в сети Интернет. Лучшего пути создания решений в ответ на запросы наших клиентов. Теперь мы добавили опыт и человеческие ресурсы компании Symantec к нашему инновационному наследию с целью поиска оптимального направления развития отрасли и усиления веры в идентичность и цифровые взаимоотношения.

2019 DigiCert, Inc. Все права защищены. Компания DigiCert и ее логотип являются зарегистрированными торговыми знаками компании DigiCert, Inc. Компании Symantec и Norton, их логотипы и торговые знаки используются на основании лицензии, выданной компанией Symantec Corporation. Другие названия могут являться торговыми знаками соответствующих собственников.