المقدمة
يصف هذا وثيقة تحديد SWG خاص حيث يعجز فحص SSL دعم ضغط Brotli، أي يستطيع سببت web تحميل إصدار.
معلومات أساسية
عند تمكين فحص SSL (فك تشفير HTTPS) في عبارة الويب الآمنة (SWG) من Cisco، يكون أحد قيود المفاتيح هو أن SWG لا تدعم ضغط Brotli حاليا. يؤثر هذا التحديد على كيفية معالجة رؤوس ترميز المحتوى أثناء فك تشفير SSL، والذي يمكن أن يؤدي إلى مشاكل في المحتوى وتحميل أصل ويب غير مكتمل.
المشكلة
في الواقع يتسبب افتقار SWG لدعم Brotli في قيام الوكيل بتجريد أو تبديل رأس Accept-Encoding الذي يتضمن Brotli (br). ونتيجة لذلك، يمكن للخادم الاستجابة بأنواع MIME غير متوقعة مثل التطبيق/x-gzip بدلا من التطبيق الصحيح/JavaScript. يؤدي عدم تطابق نوع MIME هذا إلى تشغيل ميزات أمان المستعرض مثل حظر الاستجابة المعتم ل Chrome's (ORB)، والذي يمنع المحتوى لمنع مخاطر الأمان المحتملة. بناء على ذلك:
-
لا يمكن معالجة الأصول المضغوطة مع Brotli بشكل صحيح أو التعرف عليها من قبل SWG أثناء فك تشفير SSL.
-
تتسبب إزالة Brotli للوكيل من رأس Accept-Encoding في قيام الخادم بخدمة المحتوى بأنواع MIME غير صحيحة.
-
تقوم المستعرضات بحظر المحتوى، مما يتسبب في حدوث حالات فشل في تحميل أصول ويب الأساسية.
الحل
للحد من هذه المشكلة، يوصى بتجاوز فك تشفير SSL للمجالات المتأثرة بإضافتها إلى قائمة "عدم فك التشفير". وهذا يؤدي إلى منع عدم تطابق نوع MIME وحظر المحتوى. وبالإضافة إلى ذلك، من المتوقع أن تدعم Cisco Secure Web Gateway ضغط Brotli وتوفر معالجة محسنة لترميز محتوى الويب الحديث في المستقبل القريب.
معلومات ذات صلة
التعليقات