HTTPS 协议是否会泄漏 HTTP 正文长度?

信息安全 tls http 中间人 openssl
2021-08-23 07:54:23

似乎在 MITM 攻击中,黑客可能知道通过网络发送的整个 HTTPS 数据包大小(即 HTTP 标头大小 + HTTP 正文 + 开销)。除此之外,HTTPS 协议是否还允许黑客恢复 HTTP 正文的长度(压缩或未压缩)?

我问是因为这与“向 HTTP 标头添加随机长度的字符串”是否可以隐藏压缩的 HTTP 正文的长度以减轻(但我知道不能完全防止)BREACH 攻击有关。

如果答案是否定的,是否有人知道将随机长度字符串放在 HTTP 标头而不是 HTTP 正文中以减轻 BREACH 攻击的其他风险?

1个回答

区分标题和内容通常不是密码分析中最难的部分。这是因为标头通常具有特定的结构、常见的长度范围和有限的值种类。

是的,SSL/TLS 正在泄漏可能用于多类攻击的长度详细信息。在某些情况下,攻击者甚至可能能够确定内容信息。检查自行车攻击以获取一些详细信息:https ://www.scip.ch/en/?labs.20160317

填充是防止此类攻击的好主意。根据定义,添加此类功能的安全性没有明显的缺点。

其它你可能感兴趣的问题
上一篇在不牺牲查询性能的情况下加密数据 下一篇是否在任何已知的网站攻击中使用了 HTTP 虚假请求类型“COOK”?