违反最近,一种针对 HTTP 压缩的 SSL 新攻击被公开宣布。关于如何防御 BREACH 的新建议似乎是:关闭 HTTP 压缩。
那么,如何关闭 HTTP 压缩?我需要对 Apache 配置进行哪些更改?我是否也需要对浏览器进行更改?
(我在这里时,是否有其他资源建议应该在其他 Web 服务器(如 Microsoft IIS)上进行哪些更改?)
答案1
Apache 压缩由 mod_deflate。只要不加载或启用该模块,Apache 就不会应用 HTTP 压缩。其他压缩(例如在 PHP 中完成的压缩)可能稍微复杂一些,但 BREACH 专门处理mod_deflate-style 压缩。
还有mod_gzip,不太受欢迎。