CRIME

Compression Ratio Info-leak Made Easy

Связанная ошибка

"Данный сервер уязвим для атаки CRIME. Убедитесь, что на вашем сервере включен протокол TLSv1.2 и отключите сжатие SSL/TLS."

Проблема

Протокол безопасности транспортного уровня (TLS) содержит функцию (сжатие TLS), которая позволяет сжимать данные, передаваемые между сервером и браузером. Данная функция используется для снижения пропускной способности и проблем с задержкой, связанных с шифрованием и дешифрованием больших объемов данных. Сжатие TLS добавляется в клиентские приветственные сообщения. Включение сжатия TLS не является обязательным.

Во время атаке CRIME (Compression Ratio Info-leak Made Easy) злоумышленник восстанавливает содержимое секретных аутентификационных файлов cookie и использует эту информацию для взлома аутентифицированного веб-сеанса. Злоумышленник использует комбинацию внедрения открытого текста и утечки данных при сжатии TLS для использования уязвимости. Злоумышленник вынуждает браузер совершить несколько подключений к сайту. Злоумышленник сравнивает размер зашифрованных текстов, отправляемых браузером во время каждого обмена, чтобы определить части зашифрованной связи и перехватить сеанс.

Способ устранения

  • Отключите сжатие данных TLS сервера (веб-сайта) и сжатие данных TLS браузера.
  • Измените gzip, чтобы разрешить явное разделение контекстов сжатия в SPDY.