è una risorsa g-zipping un problema di sicurezza?

3

Recentemente ho notato che le risorse inviate ai client non sono compresse o miniate sulla mia intranet aziendale o sul suo sito web pubblico.

L'ho portato all'attenzione del dipartimento di networking (che gestisce il server) e ho chiesto se potevano aggiungere il codice appropriato alla configurazione del server.

Il mio collega inizialmente non ha riscontrato problemi e ha pensato che fosse una buona idea, ma oggi ha detto che dopo aver chiesto ulteriori informazioni, ha scoperto che si trattava di un problema di sicurezza ed è per questo che non lo fanno.

Questo mi confonde.

Ho chiesto come potrebbe essere un problema di sicurezza se comprimiamo le risorse che si trovano sul nostro server prima di inviarle al client.

Mi ha detto che ha reso più semplice lo spostamento dei contenuti compromessi attraverso lo scanner antivirus dei client. Tuttavia, utilizziamo HTTPS, quindi non c'è modo che il nostro codice possa essere alterato nel modo in cui il browser del client viene visualizzato senza che il browser lo noti, vero?

Inoltre, anche se avessimo inviato le risorse in formato testo, se fossero state intercettate, l'hacker potrebbe semplicemente gziparle e inviarle, quindi sono davvero confuso ora.

Esistono motivi validi per NON gzip / minify del contenuto inviato ai computer del cliente?

EDIT:   Il contenuto è statico, essenzialmente solo un sito web di marketing per la società

    
posta Luke 23.12.2015 - 00:03
fonte

3 risposte

6

Ho riflettuto su questo e non credo che il tuo dipartimento di networking sia giustificato in questo parere. Dipende tutto dal tuo modello di minaccia, ma dato il modello di minaccia del "contenuto hacker da filtrare attraverso lo scanner antivirus dei client", questa opinione non ha senso.

Per prima cosa, lasciamo il minification, perché è in testo normale. Non vi è alcun motivo di sicurezza o modello di minaccia che possa essere risolto non minificando.

Ora, diamo un'occhiata al "contenuto compromesso". Poiché stai utilizzando HTTPS, il contenuto dannoso deve provenire dal tuo server e non da un MitM. Ciò esclude le reti pubblicitarie compromesse o il contenuto di terze parti, perché viene offerto da altre parti. Questo parere suggerisce anche che questa minaccia (il contenuto compromesso viene offerto dai propri server) è abbastanza credibile da non ottenere i vantaggi operativi della compressione del contenuto. Dubito che questo sia effettivamente il caso.

L'altro problema qui è la preoccupazione per il client finale. Oltre ad essere una strana preoccupazione per un servizio Web, gli scanner antivirus sul client possono ancora eseguire la scansione del contenuto una volta che non è compresso. Anche uno scanner perimetrale decomprimerà il contenuto per scansionarlo.

Oltre a tutto questo, hai ragione a non avere alcun controllo sui contenuti compromessi. L'hacker può scegliere di comprimere o meno se ha accesso ai tuoi server (che sarebbe richiesto in questo modello di minaccia), quindi la scelta di non comprimere il contenuto statico non è giustificata.

Alla fine, sembra che ci sia di più nella storia, nell'architettura e in una strana decisione di quanto non sembri.

    
risposta data 23.12.2015 - 00:40
fonte
1

Questo non dovrebbe essere un problema di sicurezza sul quale spendi energia.

Forse il tuo cliente non ha alcun anti-virus. Forse hanno un cattivo antivirus. Se il loro sistema è vulnerabile agli attacchi di un sito Web che visitano, è questo il loro problema, non il tuo. Rallentando i client non comprimendo il contenuto nella remota possibilità che il loro software antivirus sia sufficiente per catturare un attacco, a meno che non sia zippato, è uno strano compromesso da fare.

    
risposta data 23.12.2015 - 01:53
fonte
0

Le persone della tua rete potrebbero pensare a CRIME, BREACH o ad altri attacchi che sfruttano le dimensioni dei dati compressi che cambiano quando l'utente malintenzionato fa un'ipotesi corretta su un byte di un'intestazione o un cookie. Proibendo la compressione su canali criptati, potrebbero sperare di contrastare tali exploit.

    
risposta data 23.12.2015 - 00:59
fonte

Leggi altre domande sui tag