CRIME

Compression Ratio Info-leak Made Easy

相關錯誤

"此伺服器難以抵禦 CRIME 攻擊。確定您的伺服器已啟用 TLSv1.2 通訊協定並停用 SSL/TLS 壓縮。"

問題

Transport Layer Security (運送層安全,簡稱 TLS) 通訊協定有一個功能 (TLS 壓縮),可以讓您壓縮伺服器和瀏覽器之間傳遞的資料。您使用此功能減少和加密與解密大量資料關聯的頻寬和延遲問題。TLS 壓縮加入 Client Hello 訊息中。加入 TLS 壓縮是選用的。

在 Compression Ratio Info-leak Made Easy (壓縮率使資料容易洩漏) 攻擊中,攻擊者復原秘密通訊 Cookie 的內容,並且使用這些資料刼持經過驗證的 Web 工作階段。攻擊者使用純文字注射和 TLS 壓縮資料洩漏的組合尋找漏洞。攻擊者引誘瀏覽器對網站進行數次連線。然後攻擊者比較瀏覽器在每次交換期間傳送的編碼文字大小,以判斷加密的通訊部份並刼走工作階段。

解決方法

  • 停用伺服器 (網站) TLS 資料壓縮和瀏覽器 TLS 資料壓縮。
  • 修改 gzip,明確分隔 SPDY 中的壓縮關聯。