Moin.
Es gibt ja den BREACH-Exploit.
Wenn man Inhalte bei einer HTTPS gesicherten Verbindung vom Webserver komprimieren lässt, kann dieser Exploit ausgenutzt werden, und es können Userdaten gestohlen werden.
Die Lösung ist, Kompression beim Webserver auszuschalten.
Allerdings geht das zulasten vom Datenaufkommen.
Nun hatte ich die Idee, die Kompression nur teilweise zu deaktivieren, und zwar für die Seiten, die entsprechende Informationen enthalten. (z.B. User Account Seite)
Die "Generischen" Inhalte, wie z.B. die .js Dateien, Textseiten usw wollte ich aber weiterhin komprimiert ausliefern. An diese Inhalte kommt man schließlich auch ohne Authentifizierung ran, und da sind auch keine User-spezifischen Informationen drin.
Wäre die Seite dann trotzdem anfällig für den Breach Exploit?
Es gibt ja den BREACH-Exploit.
Wenn man Inhalte bei einer HTTPS gesicherten Verbindung vom Webserver komprimieren lässt, kann dieser Exploit ausgenutzt werden, und es können Userdaten gestohlen werden.
Die Lösung ist, Kompression beim Webserver auszuschalten.
Allerdings geht das zulasten vom Datenaufkommen.
Nun hatte ich die Idee, die Kompression nur teilweise zu deaktivieren, und zwar für die Seiten, die entsprechende Informationen enthalten. (z.B. User Account Seite)
Die "Generischen" Inhalte, wie z.B. die .js Dateien, Textseiten usw wollte ich aber weiterhin komprimiert ausliefern. An diese Inhalte kommt man schließlich auch ohne Authentifizierung ran, und da sind auch keine User-spezifischen Informationen drin.
Wäre die Seite dann trotzdem anfällig für den Breach Exploit?
0 commentaires:
Enregistrer un commentaire