Вопросы Теги

Nginx gzip для https [дубликат]

Моим конкретным сценарием было то, что у службы приложений Azure была минимальная версия TLS, измененная на 1.2

. Я не знаю, является ли это по умолчанию с этого момента, но изменение его обратно на 1.0 заставило его работать .

Вы можете получить доступ к настройке внутри «Настройки SSL».

9
задан 15 May 2015 в 19:01
поделиться

1 ответ

BREACH существует, когда у вас есть TLS плюс HTTP-сжатие (т.е. gzip). Но для этого также требуется:

  1. полезная секретная информация в корпусе ответа
  2. злоумышленник должен иметь возможность вставлять значение в тело ответа с параметром запроса
  3. нет случайного отклика ответа

Комментарии:

  1. Хакеры - это номера кредитных карт, пароли, токены CSRF и, возможно, не чаты с вашим GF, но вы никогда не знаете.
  2. Похоже, что многие входные ответы (например, панель поиска наверху) являются внеполосными, то есть ответ на AJAX, поэтому не влияет на другие ответы .
  3. Facebook может откладывать свои ответы, но я не слишком глубоко вникал в это.
9
ответ дан Neil McGuigan 23 August 2018 в 02:05
поделиться
Другие вопросы по тегам:

Похожие вопросы: