Gzip sobre SSL

Derjay

Delta
Exchanger
Verificación en dos pasos activada
¡Ha verificado su Paypal!
Desde
4 Mar 2014
Mensajes
681
Hola amigos,

He estado instalando un servidor nuevo y me he percatado de que en el archivo por defecto de /etc/nginx/site-availables/default
en la parte de SSL hay una nota que dice que se deberia desactivar gzip cuando se usa SSL

# Note: You should disable gzip for SSL traffic.
# See: #773332 - Default nginx.conf leaves sites vulnerable to BREACH - Debian Bug report logs

Estuve investigando un poco y me entere de que tener SSL con gzip te hace vulnerable a ataques BREACH, este informe fue presentado en 2013 aproximadamente en una conferencia Black Hat.

Luego de buscar mas informacion encontre un blog donde alguien decia que esa vulnerabilidad se daba bajo ciertas condiciones, otros decian que no valia la pena desactivar gzip por miedo a un ataque de ese tipo si no se manejaba informacion delicada.

Aunque mucha de esa informacion es relativamente vieja, me gustaria conocer sus opiniones, recomendaciones o bien aclaraciones sobre el tema.

Saludos!
 

Mask7OfDragon

Zeta
Verificación en dos pasos desactivada
Verificado por Whatsapp
¡Ha verificado su Paypal!
Desde
17 Mar 2017
Mensajes
1.918
No es necesario desactivar Gzip con SSL, solo configurarlo correctamente.
 

SnAFKe

VIP
Eta
Verificación en dos pasos desactivada
¡Ha verificado su Paypal!
Desde
6 Ago 2014
Mensajes
1.490
En la misma URL sale que se soluciono el problema.....
 

Carlos Frias

Ni
SysManager
Verificación en dos pasos activada
Verificado por Whatsapp
¡Ha verificado su Paypal!
Desde
6 Nov 2016
Mensajes
3.692
Esa incidencia tiene tiempo de solucionada [MENTION=81395]Derjay[/MENTION] :p7:
 

SnakeNet

Xi
Programador
Verificación en dos pasos desactivada
Desde
13 Nov 2014
Mensajes
4.081
Esta solucionado ese problema, es recomendable que leas todo al detalle.
 

Creations

Beta
Verificación en dos pasos activada
Verificado por Whatsapp
¡Usuario con pocos negocios!
Desde
4 Nov 2009
Mensajes
103
El problema no fue solucionado, ni lo ha sido hasta ahora. Lo único que hicieorn fue:
+ Add comment about disabling gzip in HTTPS. (Closes: #773332)

Sin embargo, el problema no solo pasa si usas HTTPS, también HTTP.
Por eso la recomendación de desactivarlo completamente.

Aún así, no es algo que nos pueda pasar, pero por si las dudas, si tienes miedo de que
te paso, solo trata de usar gzip en archivos estáticos, solo si en tu sitio usas información sensible.

Si tus usuarios no están manejando informaciónn sencible, o tu mismo, yo diría que no hay porque preocuparse.
Aun si usaras, es poco probable que alguien venga a intentar utilizar BREACH, ya que tampoco es una tarea simple el poder explotar dicha vulnerabilidad.
 

Crea una cuenta o accede para comentar

Debes ser un miembro para poder comentar

Crear cuenta

Crea una cuenta en nuestra comunidad

Acceder

¿Ya tienes una cuenta? Accede aquí


Arriba