Primeiro, o CRIME só se aplica se o seu site usar todos esses três itens:
- SSL ou TLS
- Compressão
- Sessões autenticadas por cookies
É útil apenas para sequestrar sessões ativas e é mais útil se o seu servidor não exigir correspondência de IP de sessão. Enquanto muitos sites usam essa combinação, não é tão comum quanto muitos pensam. Além disso, algumas estatísticas sugerem que < 7% dos navegadores na Internet realmente suportam as compressões que tornam o CRIME possível.
O que não funciona:
O campo Vary
apenas informa os proxies upstream se eles puderem armazenar em cache uma página dinâmica. Embora seja importante considerar sua estratégia de armazenamento em cache, não tanto para essa vulnerabilidade em particular.
Desmarcar o campo Accept-Encoding
afetará apenas mod_deflate ou mod_gzip; isso não afeta a compactação por SSL / TLS. Então seu método não funcionará.
O que funciona:
Existem duas opções para proteger seu servidor. Você pode desativar o suporte à compactação em sua biblioteca SSL / TLS, recompilando-o sem compactação; ou você pode corrigir seu servidor para suportar a diretiva SSLCompression
. O Apache 2.4.x suporta essa diretiva nativamente. O Apache 2.2.22 pode ser corrigido com relativa facilidade .
Várias Distribuições do Sistema Operacional estão retornando os patches agora, verifique com seu provedor Distro para detalhes (a maioria do Linux Distro usa versões antigas do Apache para as quais eles escreveram back-ports personalizados de patches de segurança. muito esteja à mercê do seu Distro se você estiver usando os pacotes sancionados).
Como você está certo :
É muito fácil usar o Verificador de problemas "SSL" disponível no SSL Labs . Ele detectará se seu servidor é vulnerável a CRIME. Você pode semi-ignorar os avisos do BEAST, pois todos os navegadores modernos corrigiram o problema do lado do cliente. Isso dependeria do seu conjunto particular de circunstâncias.