犯罪也会损害基本的访问认证吗？

Question

减轻犯罪需要禁用TLS压缩。我的服务器只通过XML提供服务，而不使用Cookies，这就是犯罪利用的地方。这是否意味着我可以打开TLS压缩而不用担心会被破坏呢？我们使用基本接入认证，它似乎与cookie一样容易受到犯罪攻击。

Answer 1

犯罪攻击是让目标客户端向服务器发送虚假的GET请求，因此每个请求：

1. 包含攻击者选择的路径，
2. 还包含攻击者感兴趣的一些秘密值。

当客户端是Web浏览器时，一个实用的实现是一些恶意Javascript，它操纵DOM以生成隐藏的<img>标记。每个这样的标记都会让客户端访问服务器。

如果客户端被配置为在每个请求的相关头中自动发送用户密码，作为基本身份验证的一部分，那么它就可以像cookie一样受到攻击。犯罪适用。

但是，重要的一点是，犯罪是一个选择-明文攻击：它可以在攻击者发出包含秘密值和攻击者可以选择的某些数据的请求的上下文中工作。这当然适用于Web浏览器，但不一定适用于其他上下文，例如定制的XML客户端。这实际上取决于请求包含了什么。

通常，任何类型的压缩都会增加信息泄漏，因为加密不会隐藏数据大小，而压缩使数据大小依赖于数据内容。具体的犯罪情况是在SSL级别应用压缩，因为压缩包含一个区域( HTTP报头)，从攻击者的角度来看，这些值都是非常有用的。但是，如果攻击者希望获得一个秘密值，使得该值位于请求体中，则HTTP级别的压缩可能同样容易受到攻击。

如果您想要压缩的好处，那么您也将得到压缩的缺点，即增加泄漏。这需要一些彻底的、具体的分析。

(请注意，与大小相关的泄漏并不是特定于压缩的；基于文本的表示，例如XML中的十进制整数，也可以有一个可变大小，这取决于确切的数据内容；然而，压缩会加剧问题，使漏洞更容易转化为成功的攻击。)

Answer 2

犯罪是在攻击你的饼干价值还是你的基本价值并不重要。最后，它只是解密了一个特定的值。