Con il mio attuale interesse per l'attacco CRIME, sto attualmente cercando di verificare se esiste effettivamente un modo per "impronta digitale" di un server che supporta SPDY?
Le mie ricerche mi hanno portato a credere che solo l'intestazione di risposta "X-Firefox-SPDY" può essere d'aiuto. C'è un altro modo?
La risposta alla tua domanda dipenderà dal contesto in cui sei interessato.
Se sei interessato a rilevare i server SPDY mentre navighi sul Web, ti servirà prima un browser che supporti SPDY (ad esempio Firefox 11+ o Chrome). In questo scenario, il modo migliore per rilevare SPDY dipende dal browser.
Per Chrome ci sono un paio di modi:
chrome://net-internals/#spdy per un elenco di tutte le connessioni SPDY attualmente aperte (perché le connessioni SPDY sono persistenti - dovrebbe essere presente ogni scheda che contiene un documento da un server che supporta SPDY). window.chrome.loadTimes().wasFetchedViaSpdy . Per Firefox, l'unico modo che conosco è cercare la presenza dell'intestazione di risposta X-Firefox-Spdy . Nota che affinché funzioni, devi abilitare il supporto SPDY (è attivo per impostazione predefinita a partire da Firefox 13, altrimenti - imposta network.http.spdy.enabled su true .
Tutto ciò dipende dall'utilizzo di un browser abilitato SPDY e dal controllo manuale dei server. Se desideri automatizzarlo, usa un browser che non supporta SPDY o semplicemente salta il browser: avrai bisogno di un'altra strategia. Come vedo, in questo caso hai due opzioni:
I server SPDY possono essere configurati per pubblicizzare il loro supporto di SPDY quando si inviano risposte HTTP. Ciò richiederebbe di ispezionare la presenza delle intestazioni Alternative-Protocol appropriate ( delineate in la bozza SPDY ).
Basta stabilire una connessione TCP al server e inviarlo a SETTIGNS (HELLO) o a un frame SYN_STREAM e vedere se risponde secondo Protocollo SPDY .
Leggi altre domande sui tag compression web-application tls attack-prevention spdy