(Translated by https://www.hiragana.jp/)
CRIME - 维基百科,自由的百科全书 とべ转到内容ないよう

CRIME

本页使用了标题或全文手工转换
维基百科ひゃっか自由じゆうてき百科ひゃっかぜん

CRIME英語えいごCompression Ratio Info-leak Made Easy意思いし为:压缩りつ使しんいき容易ようい泄露)いちおさむ击安ぜん隐患(Exploit),つう过它窃取せっしゅ启用かずすえ压缩特性とくせいてきHTTPSあるSPDY协议传输てきわたしみつWeb Cookie[1][2]ざい成功せいこうかい份验证Cookieきさきおさむ击者以实ぎょうかい话劫かず发动进いちおさむ击。CRIME分配ぶんぱい为CVE-2012-4929。[3]

细节

[编辑]

此漏ほら立足たつあし选择明文あきふみおさむ配合はいごうすうすえ压缩无意间造成ぞうせいてきしんいき泄露えいInformation_leakage,类似みつ码学John KelseyえいJohn_Kelsey_(cryptanalyst)ざい2002ねんしょじゅつてき方式ほうしき[4]它依赖于おさむ击者のう观察浏览发送てきみつぶんてき大小だいしょう,并在どう时诱导浏览器发起个精こころ设计てきいた标网站的连接。おさむ击者かい观察やめ压缩请求载荷てき大小だいしょう,其中包括ほうかつ两个浏览ただ发送いた标网站的わたしみつCookie,以及おさむ击者创建てき变量内容ないようとう压缩内容ないようてき大小だいしょうくだてい时,おさむ击者推断すいだん注入ちゅうにゅう内容ないようてきぼう些部分与ぶんよげん内容ないようてきぼう部分ぶぶんひきはい,其中包括ほうかつおさむ击者おもえよう发掘てきわたしみつ内容ないよう使用しようぶんほうわざ术可以用较小てき尝试次数じすうかい读真せい秘密ひみつてき内容ないよう需要じゅよう恢复てき节数かい大幅おおはばくだてい[2][5]

CRIME利用りよう方法ほうほうよし安全あんぜん研究けんきゅうじん员Juliano RizzoThai Duong创建,们还创建りょうBEAST利用りよう方法ほうほう[1]利用りよう方法ほうほうざい2012ねんekopartyえいEkoparty安全あんぜんかい议上完全かんぜん展示てんじ[6]RizzoDuong指出さしで,CRIME一种通用攻击,以对众多协议进行有效ゆうこうおさむ击,包括ほうかつただしきり于SPDY(はじめ终压缩请もとめ头)、TLS(可能かのう压缩记录)かずHTTP(可能かのう压缩响应)。

避免

[编辑]

CRIME以被きんよう压缩くじけ败,无论ざいきゃく户端てき浏览ちゅうきんよう压缩,还是よし网站すえTLSてき协商特性とくせい阻止そし使用しようすうすえ压缩。

ほら

[编辑]

缓解

[编辑]

截至2012ねん9がつ,针对SPDYTLS层压缩的CRIME利用りよう方法ほうほうざい最新さいしん版本はんぽんてきChromeFirefox浏览ちゅうやめ做缓かいほろやめ确认其Internet Explorer浏览かい受到此攻击,いん为其浏览支持しじSPDYTLS压缩。[1]一些网站已自行应用对策。[7]nginx网页ふく务器从使用しようOpenSSL 1.0.0+てき1.0.9/1.1.6(2011ねん10がつ/11月)かず使用しよう所有しょゆうOpenSSL版本はんぽんてき1.2.2/1.3.2(2012ねん6がつ/7がつおこりかい受到此攻击。[8]

注意ちゅういてき,截至2013ねん12月,针对HTTP压缩てきCRIME利用りよう并未完全かんぜん缓解。RizzoDuongやめ警告けいこく此漏ほらてき适用范围可能かのうSPDYTLS压缩さら普遍ふへん

BREACH

[编辑]

ざい2013ねん8がつてきBlack HatえいBlack_Hat_Briefingsかい议上,研究けんきゅう员Gluck、HarrisPrado宣布せんぷりょういち个CRIME利用りよう方法ほうほうてき变体,它针对HTTP压缩,しょうBREACHえいBREACH_(security_exploit)ぜんしょう:Browser Reconnaissance and Exfiltration via Adaptive Compression of Hypertextてき缩写,为“つう过自适应超文ちょうぶんほん压缩做浏览器侦听渗透”)。它通过攻击网页服务器为减しょう网络流量りゅうりょうないおけてきHTTPすうすえ压缩らいかい读HTTPSわたしみつしんじいき[9]

参考さんこう资料

[编辑]
  1. ^ 1.0 1.1 1.2 Goodin, Dan. Crack in Internet's foundation of trust allows HTTPS session hijacking. Ars Technica. September 13, 2012 [September 13, 2012]. (原始げんし内容ないようそん于2014-06-21). 
  2. ^ 2.0 2.1 Fisher, Dennis. CRIME Attack Uses Compression Ratio of TLS Requests as Side Channel to Hijack Secure Sessions. ThreatPost. September 13, 2012 [September 13, 2012]. (原始げんし内容ないようそん档于2014-04-10). 
  3. ^ そん副本ふくほん. [2016-07-09]. (原始げんし内容ないようそん于2016-08-03). 
  4. ^ Kelsey, J. Compression and Information Leakage of Plaintext. Fast Software Encryption. Lecture Notes in Computer Science 2365. 2002: 263 [2016-07-09]. ISBN 978-3-540-44009-3. doi:10.1007/3-540-45661-9_21. (原始げんし内容ないようそん于2016-03-28). 
  5. ^ CRIME - How to beat the BEAST successor?. StackExchange.com. September 8, 2012 [September 13, 2012]. (原始げんし内容ないようそん于2016-09-13). 
  6. ^ Rizzo, Juliano; Duong, Thai. The CRIME attack. Ekoparty. [September 21, 2012]. (原始げんし内容ないようそん于2016-04-21) –どおり过Google Docs. 
  7. ^ Leyden, John. The perfect CRIME? New HTTPS web hijack attack explained. The Register. September 14, 2012 [September 16, 2012]. (原始げんし内容ないようそん于2016-08-03). 
  8. ^ Sysoev, Igor. Nginx mailing list: crime tls attack. nginx.org. September 26, 2012 [July 11, 2013]. (原始げんし内容ないようそん于2016-07-02). 
  9. ^ Goodin, Dan. Gone in 30 seconds: New attack plucks secrets from HTTPS-protected pages. August 1, 2013 [2016-07-09]. (原始げんし内容ないようそん于2014-07-01). 
检索https://zh.wikipedia.org/w/index.php?title=CRIME&oldid=64764592