BREACH существует, когда у вас есть TLS плюс HTTP-сжатие (т.е. gzip). Но для этого также требуется:
- полезная секретная информация в корпусе ответа
- злоумышленник должен иметь возможность вставлять значение в тело ответа с параметром запроса
- нет случайного отклика ответа
Комментарии:
- Хакеры - это номера кредитных карт, пароли, токены CSRF и, возможно, не чаты с вашим GF, но вы никогда не знаете.
- Похоже, что многие входные ответы (например, панель поиска наверху) являются внеполосными, то есть ответ на AJAX, поэтому не влияет на другие ответы .
- Facebook может откладывать свои ответы, но я не слишком глубоко вникал в это.
задан c69 3 September 2013 в 19:55
поделиться