BREACH是针对HTTP压缩的一种针对SSL的新攻击,最近已公开宣布。关于如何防御BREACH的新建议似乎是:关闭HTTP压缩。
那么,如何关闭HTTP压缩?我需要对Apache配置进行哪些更改?我也需要对浏览器进行任何更改吗?
(尽管我在这里,是否还有其他资源建议应在其他Web服务器(如Microsoft IIS)上进行哪些更改?)
Apache压缩由mod_deflate处理。只是不加载或启用该模块,Apache不会应用HTTP压缩。其他压缩(例如在PHP中完成)可能要复杂一些,但是BREACH专门处理mod_deflate-style压缩。
还有mod_gzip,它不那么受欢迎。
本文收集自互联网,转载请注明来源。
如有侵权,请联系[email protected] 删除。
我来说两句