添加的内容 删除的内容
小 (机器人:清理不当的来源、移除无用的模板参数) |
小 (机器人:修正重定向) |
||
| 第1行: | 第1行: | ||
{{NoteTA|G1=IT}} |
{{NoteTA|G1=IT}} |
||
'''CRIME'''({{lang-en|'''Compression Ratio Info-leak Made Easy'''}},意思为:压缩率使信息容易泄露)是一种[[Exploit|可攻击安全隐患]](Exploit),通过它可窃取启用[[数据压缩]]特性的[[超文本传输安全协议|HTTPS]]或[[SPDY]]协议传输的私密[[Cookie|Web Cookie]]。<ref name="goodin2012-09-13">{{Cite web|url=http://arstechnica.com/security/2012/09/crime-hijacks-https-sessions/|title=Crack in Internet's foundation of trust allows HTTPS session hijacking|accessdate=September 13, 2012|date=September 13, 2012|last=Goodin|first=Dan|publisher=Ars Technica|||}}</ref><ref name="fisher2012-09-13">{{Cite web|url=https://threatpost.com/crime-attack-uses-compression-ratio-tls-requests-side-channel-hijack-secure-sessions-091312/|title=CRIME Attack Uses Compression Ratio of TLS Requests as Side Channel to Hijack Secure Sessions|accessdate=September 13, 2012|date=September 13, 2012|last=Fisher|first=Dennis|publisher=ThreatPost|||}}</ref>在成功解读[[身份验证Cookie]]后,攻击者可以实行[[会话劫持]]和发动进一步攻击。CRIME被分配为CVE-2012-4929。<ref>{{Cite web |url=http://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2012-4929 |title=存档副本 |accessdate=2016-07-09 |||}}</ref> |
'''CRIME'''({{lang-en|'''Compression Ratio Info-leak Made Easy'''}},意思为:压缩率使信息容易泄露)是一种[[Exploit|可攻击安全隐患]](Exploit),通过它可窃取启用[[数据压缩]]特性的[[超文本传输安全协议|HTTPS]]或[[SPDY]]协议传输的私密[[Cookie|Web Cookie]]。<ref name="goodin2012-09-13">{{Cite web|url=http://arstechnica.com/security/2012/09/crime-hijacks-https-sessions/|title=Crack in Internet's foundation of trust allows HTTPS session hijacking|accessdate=September 13, 2012|date=September 13, 2012|last=Goodin|first=Dan|publisher=Ars Technica|||}}</ref><ref name="fisher2012-09-13">{{Cite web|url=https://threatpost.com/crime-attack-uses-compression-ratio-tls-requests-side-channel-hijack-secure-sessions-091312/|title=CRIME Attack Uses Compression Ratio of TLS Requests as Side Channel to Hijack Secure Sessions|accessdate=September 13, 2012|date=September 13, 2012|last=Fisher|first=Dennis|publisher=ThreatPost|||}}</ref>在成功解读[[身份验证Cookie]]后,攻击者可以实行[[中间人攻击|会话劫持]]和发动进一步攻击。CRIME被分配为CVE-2012-4929。<ref>{{Cite web |url=http://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2012-4929 |title=存档副本 |accessdate=2016-07-09 |||}}</ref> |
||
== 细节 == |
== 细节 == |
||
| 第13行: | 第13行: | ||
==== 缓解 ==== |
==== 缓解 ==== |
||
截至2012年9月,针对SPDY和TLS层压缩的CRIME利用方法在最新版本的[[Google Chrome|Chrome]]和[[Firefox]]浏览器中已做缓解。[[微软]]已确认其[[Internet Explorer]]浏览器不会受到此攻击,因为其浏览器不支持SPDY和TLS压缩。<ref name="goodin2012-09-13"/>一些网站已自行应用对策。<ref>{{Cite web|url=http://www.theregister.co.uk/2012/09/14/crime_tls_attack/|title=The perfect CRIME? New HTTPS web hijack attack explained|accessdate=September 16, 2012|date=September 14, 2012|last=Leyden|first=John|work=The Register|||}}</ref>[[nginx]]网页服务器从使用[[OpenSSL]] 1.0.0+的1.0.9/1.1.6(2011年10月/11月)和使用所有OpenSSL版本的1.2.2/1.3.2(2012年6月/7月)起不会受到此攻击。<ref>{{Cite web|url=http://mailman.nginx.org/pipermail/nginx/2012-September/035600.html|title=Nginx mailing list: crime tls attack|accessdate=July 11, 2013|date=September 26, 2012|last=Sysoev|first=Igor|publisher=nginx.org|||}}</ref> |
截至2012年9月,针对SPDY和TLS层压缩的CRIME利用方法在最新版本的[[Google Chrome|Chrome]]和[[Firefox瀏覽器|Firefox]]浏览器中已做缓解。[[微软]]已确认其[[Internet Explorer]]浏览器不会受到此攻击,因为其浏览器不支持SPDY和TLS压缩。<ref name="goodin2012-09-13"/>一些网站已自行应用对策。<ref>{{Cite web|url=http://www.theregister.co.uk/2012/09/14/crime_tls_attack/|title=The perfect CRIME? New HTTPS web hijack attack explained|accessdate=September 16, 2012|date=September 14, 2012|last=Leyden|first=John|work=The Register|||}}</ref>[[nginx]]网页服务器从使用[[OpenSSL]] 1.0.0+的1.0.9/1.1.6(2011年10月/11月)和使用所有OpenSSL版本的1.2.2/1.3.2(2012年6月/7月)起不会受到此攻击。<ref>{{Cite web|url=http://mailman.nginx.org/pipermail/nginx/2012-September/035600.html|title=Nginx mailing list: crime tls attack|accessdate=July 11, 2013|date=September 26, 2012|last=Sysoev|first=Igor|publisher=nginx.org|||}}</ref> |
||
应注意的是,截至2013年12月,针对[[HTTP压缩]]的CRIME利用并未完全缓解。Rizzo和Duong已警告此漏洞的适用范围可能比SPDY和TLS压缩更加普遍。 |
应注意的是,截至2013年12月,针对[[HTTP压缩]]的CRIME利用并未完全缓解。Rizzo和Duong已警告此漏洞的适用范围可能比SPDY和TLS压缩更加普遍。 |
||