BREACH是一种针对 HTTP 压缩的针对 SSL 的新攻击,最近已公开宣布。关于如何防御 BREACH 的新兴建议似乎是:关闭 HTTP 压缩。
那么,如何关闭 HTTP 压缩?我需要对我的 Apache 配置进行哪些更改?我是否也需要对浏览器进行任何更改?
(当我在这里时,是否有任何其他资源表明应该在其他 Web 服务器(例如 Microsoft IIS)上进行哪些更改?)
Apache 压缩由mod_deflate处理 。只是不要加载或启用模块,Apache 不会应用 HTTP 压缩。其他压缩(例如在 PHP 中完成)可能稍微复杂一些,但 BREACH 专门处理mod_deflate-style 压缩。
还有mod_gzip,它不太受欢迎。