¿es g-zipping activo una preocupación de seguridad?

3

Hace poco noté que los activos enviados a los clientes no están comprimidos ni comprimidos en la intranet de mi compañía ni en su sitio web público.

Llamé esto a la atención del departamento de redes (que mantienen el servidor) y les pregunté si podían agregar el código apropiado a la configuración del servidor.

Mi compañero de trabajo inicialmente no vio ningún problema y pensó que era una buena idea, pero hoy dijo que después de seguir investigando, descubrió que era un problema de seguridad y por eso no lo hacen.

Esto me desconcierta.

Pregunté cómo podría ser un problema de seguridad si comprimimos los activos que se encuentran en nuestro servidor antes de enviarlos al cliente.

Me dijo que hacía más fácil que el contenido pirateado pasara por el escáner antivirus del cliente. Sin embargo, utilizamos HTTPS, por lo que no hay forma de que nuestro código pueda ser manipulado en el camino hacia el navegador del cliente sin que su navegador se dé cuenta, ¿no?

Más aún, incluso si enviamos los activos en texto sin formato, si son interceptados, el pirata informático podría simplemente borrarlos y enviarlos, así que estoy realmente confundido ahora.

¿Hay razones legítimas para NO gzip / minimizar el contenido enviado a las computadoras del cliente?

EDITAR:   El contenido es estático, esencialmente solo un sitio web de marketing para la empresa

    
pregunta Luke 23.12.2015 - 00:03
fuente

3 respuestas

6

He estado pensando en esto y no creo que su departamento de redes esté justificado en esta opinión. Todo depende de su modelo de amenaza, pero dado el modelo de amenaza de "contenido pirateado para pasar por el escáner antivirus del cliente", esta opinión no tiene sentido.

Primero, eliminemos la minificación, porque está en texto plano. No hay una razón de seguridad o un modelo de amenaza que pueda solucionarse no minimizando.

Ahora, veamos el "contenido pirateado". Debido a que está utilizando HTTPS, el contenido malicioso debe provenir de su servidor y no de un MitM. Esto excluye las redes publicitarias pirateadas o el contenido de terceros, porque se está sirviendo desde otro lugar. Esta opinión también sugiere que esta amenaza (el contenido pirateado que se sirve desde sus propios servidores) es lo suficientemente creíble como para no obtener los beneficios operativos de comprimir el contenido. Dudo que este sea realmente el caso.

El otro problema aquí es la preocupación por el cliente final. Además de ser una preocupación extraña para un servicio web, los analizadores antivirus en el cliente pueden escanear el contenido una vez que está sin comprimir. Incluso un escáner de perímetro descomprime el contenido para escanearlo.

Además de todo esto, tienes razón al no tener control sobre el contenido pirateado. El pirata informático puede optar por comprimir o no si tiene acceso a sus servidores (lo que sería necesario en este modelo de amenaza), por lo que no se justifica elegir no comprimir el contenido estático.

Al final, parece que hay más en la historia, la arquitectura y la extraña decisión de lo que parece.

    
respondido por el schroeder 23.12.2015 - 00:40
fuente
1

Esto no debería ser un problema de seguridad en el que gaste energía.

Tal vez tu cliente no tenga ningún antivirus. Tal vez tengan un mal antivirus. Si su sistema es vulnerable al ataque de un sitio web que visitan, ese es su problema, no el suyo. Disminuir la velocidad de los clientes al no comprimir el contenido en la remota posibilidad de que su software antivirus sea lo suficientemente bueno como para atrapar un ataque, a menos que esté comprimido, es un intercambio extraño.

    
respondido por el Adam Shostack 23.12.2015 - 01:53
fuente
0

La gente de su red puede estar pensando en CRIMEN, INCUMPLIMIENTO u otros ataques que explotan el tamaño de los datos comprimidos que cambian cuando el atacante hace una conjetura correcta sobre un byte de un encabezado o una cookie. Al prohibir la compresión a través de canales encriptados, pueden esperar frustrar tales explotaciones.

    
respondido por el John Deters 23.12.2015 - 00:59
fuente

Lea otras preguntas en las etiquetas