TLS 프로토콜 CRIME 취약점 관리 방법

CRIME 은 데이터 압축도 사용하는 HTTPS 및 SPDY 프로토콜을 사용하는 연결을 통한 비밀 웹 쿠키에 대한 보안 취약점입니다. 비밀 인증 쿠키의 내용을 복구하는 데 사용될 때 공격자가 인증된 웹 세션에서 세션 하이재킹을 수행하여 추가 공격을 시작할 수 있게 합니다. 설명 # TLS 프로토콜 CRIME 취약점은 HTTPS를 통해 데이터 압축을 사용하는 시스템에 영향을 미칩니다. SSL 압축(예: Gzip) 또는 SPDY(선택적으로 압축 사용)를 사용하는 경우 시스템이 CRIME 취약점에 취약할 수 있습니다. GitLab은 Gzip과 SPDY 를 모두 지원하며 HTTPS가 활성화되면 Gzip을 비활성화하여 CRIME 취약점을 완화합니다. 파일 소스는 다음과 같습니다: Self-compiled 설치 NGINX 파일 Linux 패키지 설치 NGINX 파일 SPDY는 Linux 패키지 설치에서 활성화되어 있지만 CRIME은 압축('C')에 의존하며 NGINX SPDY 모듈의 기본 압축