Il protocollo HTTPS perde la lunghezza del corpo HTTP?

6

Sembra che in un attacco MITM, gli hacker possano conoscere l'intera dimensione del pacchetto HTTPS inviata attraverso la rete (cioè la dimensione delle intestazioni HTTP + corpo HTTP + sovraccarico). Oltre a ciò, il protocollo HTTPS consente anche all'hacker di recuperare la lunghezza del corpo HTTP (compresso o meno)?

Chiedo perché questo è legato al fatto che "aggiungere una stringa di lunghezza casuale all'intestazione HTTP" possa nascondere la lunghezza del corpo HTTP compresso, per mitigare (ma so che non può impedire completamente) un attacco BREACH.

Se la risposta è no, qualcuno conosce altri rischi nel posizionare la stringa a lunghezza casuale nell'intestazione HTTP, anziché nel corpo HTTP, per mitigare un attacco BREACH?

    
posta Johnny Wong 09.06.2015 - 09:51
fonte

1 risposta

1

Distinguere l'intestazione dal contenuto di solito non è la parte più difficile della crittanalisi. Questo perché le intestazioni di solito hanno una struttura specifica, un intervallo di lunghezza comune e una varietà a valore limitato.

Sì, SSL / TLS sta perdendo dettagli sulla lunghezza che potrebbero essere utilizzati per più classi di attacchi. In alcuni casi, un utente malintenzionato potrebbe persino essere in grado di determinare le informazioni sul contenuto. Controlla l'attacco della bicicletta per alcuni dettagli: link

Il riempimento è una buona idea per prevenire tali attacchi. Per quanto riguarda la sicurezza, non esiste uno svantaggio notevole per definizione di tale caratteristica.

    
risposta data 03.06.2016 - 05:03
fonte

Leggi altre domande sui tag