SSL/SPDYを攻撃するCRIMEはBEASTの正統な後継者だ
はじめに 以前のエントリでSSLに対する新しい攻撃手法﹁BEAST﹂を紹介しましたが、今回はBEASTをさらに発展させた﹁CRIME﹂という攻撃について簡単に紹介したいと思います。一次情報源としてこちらのスライド︵英語︶が閲覧できますので、時間がある方はぜひ目を通してみてください。 CRIMEの意味 CRIMEは "Compression Ratio Info-Leak Made Easy" あるいは "Compression Ratio Info-Leak Mass Exploitation" の頭文字で、SSLやSPDY︵あるいはHTTPボディ部のgzip圧縮︶で使われる圧縮アルゴリズムに注目した攻撃手法です。あまり知られていませんがSSLには圧縮機能が存在しており、サーバ側・クライアント側双方が圧縮機能をONにしている場合に、データが圧縮されます。 BEASTとの関係 CRIMEはB
GmailがハマったSPDYの落とし穴 - ぼちぼち日記
