HTTP 수준 압축을 비활성화하려면 어떻게합니까? BREACH 가 최근에 공개되었습니다. BREACH를 방어하는 방법에

HTTP 압축을 대상으로하는 SSL에 대한 새로운 공격 인 BREACH 가 최근에 공개되었습니다. BREACH를 방어하는 방법에 대한 새로운 조언은 다음과 같습니다. HTTP 압축을 끕니다.

그렇다면 HTTP 압축을 어떻게 해제합니까? Apache 구성을 변경하려면 무엇이 필요합니까? 브라우저도 변경해야합니까?

(내가 여기에있는 동안 Microsoft IIS와 같은 다른 웹 서버에서 변경해야 할 사항을 제안하는 다른 리소스가 있습니까?)



답변

Apache 압축은 mod_deflate에 의해 처리됩니다 . 모듈을로드하거나 활성화하지 않으면 Apache가 HTTP 압축을 적용하지 않습니다. 다른 압축 (예 : PHP 내에서 수행)은 좀 더 복잡 할 수 있지만 BREACH는 특히 mod_deflate스타일 압축을 처리합니다.

도 있습니다 mod_gzip 훨씬 덜 인기있는.


답변