6 HTTP 압축을 대상으로하는 SSL에 대한 새로운 공격 인 BREACH 가 최근에 공개되었습니다. BREACH를 방어하는 방법에 대한 새로운 조언은 다음과 같습니다. HTTP 압축을 끕니다. 그렇다면 HTTP 압축을 어떻게 해제합니까? Apache 구성을 변경하려면 무엇이 필요합니까? 브라우저도 변경해야합니까? (내가 여기에있는 동안 Microsoft IIS와 같은 다른 웹 서버에서 변경해야 할 사항을 제안하는 다른 리소스가 있습니까?) http ssl — DW 소스
6 Apache 압축은 mod_deflate에 의해 처리됩니다 . 모듈을로드하거나 활성화하지 않으면 Apache가 HTTP 압축을 적용하지 않습니다. 다른 압축 (예 : PHP 내에서 수행)은 좀 더 복잡 할 수 있지만 BREACH는 특히 mod_deflate스타일 압축을 처리합니다. 도 있습니다 mod_gzip 훨씬 덜 인기있는. — 타일러 소스 2 gzip으로 전환하지 마십시오. 이 공격이 충분히 빠르게 적용되도록 할 수 있습니다. — Michael Hampton 2 요점은되지 @MichaelHampton 로 전환 mod_gzip 이 아니라 도 해제 mod_gzip . — tylerl 보안 컨텐츠와 비보안 컨텐츠를 모두 제공하는 경우 (이 방법이 다른 방법이지만 문제가 있는지 여부와 상관없이) 모든 컨텐츠에 대해 압축을 사용 하지 못하게되므로 원하는 것이 아닐 수 있습니다. — Moshe Katz