¿Puede Exchange / OWA seguir comprimiendo imágenes estáticas y ser inmune a los ataques de compresión HTTP?

3

Microsoft Exchange / OWA (Outlook Web Access) permite tres diferentes tipos de compresión (enlace para Ex2010 )

Compression setting   Description
High                  Compresses both static and dynamic pages.
Low                   Compresses only static pages.
None                  No compression is used.

Dados los ataques conocidos contra HTTP y SSL (a saber, BEAST , CRIME , y BREACH , ¿verdad? es seguro utilizar una configuración de compresión de "Bajo", donde solo se comprimen las páginas estáticas?

    
pregunta random65537 02.08.2013 - 18:27
fuente

1 respuesta

8

Los ataques relacionados con la compresión reciente funcionan todos en el mismo principio: se comprime una parte de los bytes, que contiene tanto un elemento de datos que el atacante elige como un elemento de datos que el atacante quiere descubrir . La longitud comprimida resultante se usa como un oráculo binario en sucesivas "adivinanzas" del atacante, que reconstruye progresivamente el valor secreto, un byte a la vez.

Esto no puede funcionar con páginas estáticas, porque las páginas estáticas son estáticas. Por definición, esto significa que su contenido no cambia con frecuencia (es decir, nunca, excepto por una acción explícita del administrador del sitio) y, en particular, el atacante no puede poner sus propios datos en ellos.

Se puede señalar que la compresión es una cuestión de rendimiento y, como tal, no está garantizada hasta que los problemas de rendimiento se hayan notado debidamente. Le sugiero que primero desactive la compresión por completo y vea si esto funciona bien para usted. Si, y solo si, observa un consumo o latencia excesivos de la red, es relevante probar niveles de compresión más altos.

    
respondido por el Tom Leek 02.08.2013 - 19:26
fuente

Lea otras preguntas en las etiquetas