How we manage the TLS protocol CRIME vulnerability
How we manage the TLS protocol CRIME vulnerability
CRIME是利用 HTTPS 和 SPDY 协议(也使用数据压缩)通过连接对秘密 Web Cookie 进行安全性攻击的方法. 当用于恢复秘密身份验证 Cookie 的内容时,它允许攻击者在经过身份验证的 Web 会话上执行会话劫持,从而允许发起进一步的攻击.
GitLab 支持 Gzip 和并通过在启用 HTTPS 时禁用 Gzip 来缓解 CRIME 漏洞. 文件的来源在这里:
Nessus 扫描仪 GitLab 中可能存在的 CRIME 漏洞 ,类似于以下格式:
- NGINX
- Tenable Network Security,Inc. “传输层安全性(TLS)协议 CRIME 漏洞”