那些遇到过的问题

HTTPS + gzip:如果我只 gzip 非敏感文件,是否存在安全漏洞?

mpe*_*pen 5 security https gzip nginx

据我了解,如果我将 gzipping 与 SSL/HTTPS 一起使用,它会带来安全漏洞(违规/犯罪)。

如果我只在 CSS 和 JS 文件上使用它,如果这些文件通过 HTTPS 从我的服务器上提供,这仍然是一个安全漏洞吗?

Rom*_*anK 5

据我了解,答案是否定的——这不是一个安全漏洞。CRIME/BEAST 攻击注入选定的明文以揭示原始明文;在你的情况下,这将是 CSS 和 JavaScript,它们没有安全价值。(据推测,您通过 HTTPS 提供它们以避免浏览器上出现混合内容警告)。

该攻击无法揭露您的每会话对称密钥,因此假设它不使用 gzip/deflate,它就不会影响您的敏感内容。当然,如果您希望 100% 确定,除了 gzip 之外,您还可以考虑分块编码,如本文所述: https: //community.qualys.com/blogs/securitylabs/2013/08/07/defending-抵御破坏攻击

归档时间:

查看次数:

8596 次

最近记录:

10 年,8 月 前
相关归档
Alamofire带有自签名证书/ ServerTrustPolicy 21
Saml身份验证请求协议ID 11
无法解包数据,无效状态已关闭 8
如何使用Content-Encoding:使用Python SimpleHTTPServer的gzip 7
Laravel + AngularJS CORS无效 7
为什么Request.Url.Scheme不返回HTTPS? 6
gunicorn、flask 和 Nginx 的流媒体服务器问题 6
如果您只发送JSON对象,那么适当的NGINX配置是什么? 5
在Web App中公开AWS S3签名URL? 5
未处理的异常:FormatException:意外的扩展字节(在偏移量 5 处) 5
难疑归档
如何让Git"忘记"一个被跟踪但现在位于.gitignore的文件? 4888
确定已安装的PowerShell版本 2543
如何确定数组是否包含Java中的特定值? 2194
什么是复制和交换习语? 1907
在JavaScript中生成两个数字之间的随机数 1635
var关键字的目的是什么?我何时应该使用它(或省略它)? 1508
Python的隐藏功能 1419
生成0到9之间的随机整数 1224
如何获取Android应用程序的构建版本号? 1198
如何重置MySQL中的AUTO_INCREMENT? 1174