GZIP-Komprimierung bei HTTPS-Verkehrssicherheitsproblemen mit BREACH/CRIME attacK?

Question

Zum Beispiel, wenn ich einen Blick auf den HTTP-Header von https://www.facebook.com Ich sehe, dass sie GZIP-Komprimierung Content-Encoding: gzip mit SSL/TLS-Verkehr verwenden.

Ist das nicht eine schlechte Idee wegen der BREACH/CRIME-Attacke?

curl -I -H 'Accept-Encoding: gzip,deflate' https://www.facebook.com 
HTTP/1.1 200 OK 
Pragma: no-cache 
Cache-Control: private, no-cache, no-store, must-revalidate 
Expires: Sat, 01 Jan 2000 00:00:00 GMT 
Strict-Transport-Security: max-age=15552000; preload 
Vary: Accept-Encoding 
Content-Encoding: gzip 
Content-Type: text/html 
Date: Fri, 15 May 2015 18:56:11 GMT 
Connection: keep-alive 
Content-Length: 15101 

Nach http://en.wikipedia.org/wiki/BREACH_%28security_exploit%29

Answer 1

VERLETZUNG liegt vor, wenn Sie TLS und HTTP-Komprimierung (zB gzip) haben. Aber es erfordert auch:

1. nützlich, geheime Informationen im Antworttext
2. Angreifer muss in der Lage, einen Wert in den Antworttext mit einem Anforderungsparameter
3. kein zufällige Antwort padding

zu injizieren

Kommentare:

1. Hacker sind nach Kreditkartennummern, Passwörter, CSRF-Token, und Wahrscheinlich nicht mit deinem GF chatten, aber du weißt es nie.

2. Es sieht so aus, als ob viele der Eingabeantworten (zB die Suchleiste oben) Out-of-Band sind, dh die Antwort ist über AJAX und beeinflusst andere Antworten nicht.

3. Facebook könnte ihre Antworten auffüllen, aber ich habe mich nicht tief in das vertieft.