it-swarm-eu.dev

Devo disabilitare la compressione SSL a causa di CRIME?

Ho letto CRIMINE - Come battere il successore di BEAST? e alcuni articoli sull'argomento (linkato sotto) e non ho trovato consigli per gli amministratori di sistema.

Come host web, dovrei disabilitare la compressione SSL a causa del CRIME?

ThreatPost: New Attack utilizza perdite di informazioni SSL/TLS per dirottare sessioni HTTPS

ArsTechnica: il crack nella fondazione di fiducia di Internet consente il dirottamento della sessione HTTPS

20
Daniel Serodio

Sì, probabilmente dovresti disabilitare la compressione TLS sul server web, se usi SSL su un sito altamente sensibile alla sicurezza.

Per la maggior parte della tua base di utenti, questo non è strettamente necessario. La disattivazione della compressione TLS nel server Web è utile solo per proteggere la piccola parte degli utenti che eseguono browser più vecchi e vulnerabili. Gli unici browser che supportarono mai la compressione TLS erano Firefox e Chrome. IE, Safari, Opera non l'ha mai supportato. Firefox e Chrome hanno disabilitato la compressione TLS nelle loro ultime versioni. Entrambi utilizzano aggiornamenti automatici, quindi la maggior parte degli utenti eseguirà l'aggiornamento alle versioni con patch molto presto, pertanto la maggior parte degli utenti sarà già protetta, anche se non si fa nulla.

Tuttavia, alcuni utenti potrebbero ancora utilizzare versioni di browser precedenti che supportano la compressione TLS e quindi sono vulnerabili. Ad esempio, Ivan Ristić stima che (a settembre 2012) circa il 7% dei visitatori del suo sito Web utilizza un browser più vecchio che supporta la compressione TLS ed è vulnerabile al CRIMINE. Mi aspetto che questo numero possa diminuire nel tempo. Tuttavia, ci sono probabilmente alcuni vantaggi nel disattivare la compressione TLS nel tuo server: aiuta a proteggere quegli utenti dall'attacco CRIME.

Ringrazio Andrey Botalov per il riferimento alle stime di Ivan Ristić sulla prevalenza dei browser vulnerabili.

Per i dettagli su come disabilitare la compressione SSL sul server Web, vedere questo post di blog dei partner iSEC .

19
D.W.

Sì. Si, dovresti.

Se stai gestendo un sito Web, utilizza lo strumento di valutazione SSL Labs per determinare se il tuo sito supporta la compressione TLS e SPDY (cerca il supporto per la compressione e il protocollo successivo nella pagina dei risultati, verso il fondo). Se ritieni che il rischio sia troppo elevato, disabilita la compressione se il tuo software web ti consente di farlo. (Se non lo fanno oggi, lo faranno presto.)

(Da Qualys )

7
gowenfawr