https://www.opennet.me/openforum/vsluhforumID3/91165.html На прошедшей конференции Black Hat была обнародована (http://www.kb.cert.org/vuls/id/987798) информация о новом виде атаки BREACH, позволяющей восстановить содержимое отдельных секретных идентификаторов (например, сессионные cookie и CSRF-токены), передаваемых внутри зашифрованного HTTPS-соединения. Метод атаки BREACH практически идентичен представленной в прошлом году атаке CRIME (http://www.opennet.ru/opennews/art.shtml?num=34869) (Compression Ratio Info-leak Made Easy), за тем исключением, что атака оперирует особенностью изменения характера потока при сжатии на уровне HTTP, а не при сжатии на уровне TLS/SSL, как в случае с CRIME. <br><br><br><br>Для организации атаки требуется получение контроля за трафиком на промежуточном шлюзе и выполнение на стороне браузера клиента JavaScript-кода злоумышленника (в случае получения контроля над транзитным шлюзом, осуществить подстановку JavaScript-кода в незащищённый трафик не составляет труда). Атака строится на возможности выделения в отслеживаемом зашифрованном трафике бл https://www.opennet.me/openforum/vsluhforumID3/91165.html#68 Sat, 10 Aug 2013 10:20:33 GMT Спасибо тебе, что ты есть, мыслящий человек! :)<br> https://www.opennet.me/openforum/vsluhforumID3/91165.html#67 Thu, 08 Aug 2013 20:44:38 GMT &gt; В этом есть некая логика: в core стоит оставить то что надо часто, а что надо редко (задр@чиваются с отключкой JS только продвинутые пользователи) - аддонами.<br><br>Могу ещё раз повторить вопрос и переформулировать его. Вот есть простой пользователь. Есть функции в ядре броузера. Допустим две. Первая предоставлять интерфейс к недофаербагу, вторая - возможность включить/отключить скрипты на сайтах.<br>Теперь вопрос. У нас простые пользователи каждые второй сайт крутят в фаербаге? Это нужнее чем иметь возможность включить-выключить скрипты на глючных сайтах? Какая тут логика? Особая?<br> https://www.opennet.me/openforum/vsluhforumID3/91165.html#66 Thu, 08 Aug 2013 19:54:18 GMT Обеспечение API для аддонов в core, как правило, гораздо сложнее реализации тех функций, которые вынесены в аддоны.<br> https://www.opennet.me/openforum/vsluhforumID3/91165.html#65 Thu, 08 Aug 2013 19:52:18 GMT &gt; Уговорил. Доформулирую.<br>&gt; Все лгут, но не всегда.<br><br>Как говорил Капитан Очевидность, "я говорю правду всегда, кроме случаев, когда я лгу".<br> https://www.opennet.me/openforum/vsluhforumID3/91165.html#64 Thu, 08 Aug 2013 19:50:43 GMT Нет, он вообще не бреется. Потому что автор поста выше забыл указать, что цирюльник бреет _всех_, кто не бреется сам. А без этой детали все становится очень просто (как говорят слесари на автобазе).<br> https://www.opennet.me/openforum/vsluhforumID3/91165.html#63 Thu, 08 Aug 2013 10:42:29 GMT if ( $scheme = "https" ) { gzip off }<br> https://www.opennet.me/openforum/vsluhforumID3/91165.html#62 Thu, 08 Aug 2013 03:27:07 GMT &gt;&gt;&gt; "gzip off" от SSL-enabled sites.<br>&gt; Бред сивой кобыли <br>&gt; gzip относиться только к модулю (HTTP) <br><br>директива работает на любом блоке server {} втч и в случае listen 443 ssl;<br>и да, нам как раз и нужно отключить сжатие на уровне http<br> https://www.opennet.me/openforum/vsluhforumID3/91165.html#61 Thu, 08 Aug 2013 03:25:59 GMT в nginx сжатие на уровне openssl давно отключено <br> https://www.opennet.me/openforum/vsluhforumID3/91165.html#60 Wed, 07 Aug 2013 22:07:55 GMT &gt;&gt; Это инсайд.<br>&gt; Это жирный троллинг, имхо.<br><br>Увы, нет.<br>