In questa risposta, @Thomas Pornin parla di come correggere l'attacco CRIME e dice:
(It is a shame to have to remove SSL compression, because it is very useful to lower bandwidth requirements, especially when a site contains many small pictures or is Ajax-heavy with many small requests, all beginning with extremely similar versions of a mammoth HTTP header. It would be better if the security model of JavaScript was fixed to prevent malicious code from sending arbitrary requests to a bank server; I am not sure it is easy, though.)
Supponiamo che il mio sito web pubblichi contenuti da due URL HTTPS: secure.company.com
e le immagini saranno ospitate a cdn.differentTLD.net
. Tieni presente che sto utilizzando domini diversi, quindi nessun cookie di autenticazione verrà inviato o convalidato. Supponiamo inoltre che questo CDN contenga file statici e che non venga eseguita alcuna autenticazione.
- È sicuro abilitare la compressione TLS solo per il CDN?
Comprendo che @ D.W. e la risposta di @ PulpSpy può dedurre quale file viene scaricato in base al loro post in basso.
-
Detto questo, un "segreto" TLS di livello inferiore può essere esposto al di fuori dei dati che si trovano nel protocollo HTTP? (Nell'attacco CRIME sembriamo parlare solo di ottenere il cookie nell'intestazione)
-
I dati acquisiti da un exploit CRIME contro il CDN possono essere utilizzati contro l'altro dominio?