BREACH ( คำย่อจาก : Browser Reconnaissance and Exfiltration via Adaptive Compression of Hypertext ) คือช่องโหว่ด้านความปลอดภัยของHTTPSเมื่อใช้การบีบอัด HTTP BREACH สร้างขึ้นจากช่องโหว่ด้านความปลอดภัย CRIME BREACH ถูกประกาศใน งาน Black Hat USA เดือนสิงหาคม 2013 โดยนักวิจัยด้านความปลอดภัย Angelo Prado, Neal Harris และ Yoel Gluck

แม้ว่าการโจมตี CRIME จะถูกนำเสนอเป็นการโจมตีทั่วไปที่สามารถใช้งานได้อย่างมีประสิทธิภาพกับโปรโตคอลจำนวนมาก แต่มีการสาธิตและแก้ไขช่องโหว่ใน การบีบอัดคำขอ SPDYและ การบีบอัด TLS เท่านั้น ในเบราว์เซอร์และเซิร์ฟเวอร์ ส่วนช่องโหว่การบีบอัด HTTP ของ CRIME ยังไม่ได้รับการแก้ไขเลย แม้ว่าผู้เขียน CRIME จะเตือนว่าช่องโหว่นี้อาจแพร่หลายมากกว่าการบีบอัด SPDY และ TLS รวมกันเสียอีก

BREACH เป็นตัวอย่างของการโจมตี CRIME ต่อการบีบอัด HTTP ซึ่งก็คือการใช้ อัลกอริทึมการบีบอัดข้อมูล gzipหรือDEFLATEผ่านตัวเลือก content-encoding ภายในHTTPโดยเว็บเบราว์เซอร์และเซิร์ฟเวอร์จำนวนมาก^{[ 1 ]} เมื่อพิจารณาถึง ออราเคิลการบีบอัดนี้ การโจมตี BREACH ที่เหลือจะดำเนินไปตามแนวทางทั่วไปเช่นเดียวกับการโจมตี CRIME โดยการทำการ ค้นหาแบบ brute-forceแบบสุ่มในเบื้องต้นเพื่อเดาไบต์จำนวนเล็กน้อย ตามด้วย การค้นหา แบบแบ่งและพิชิตเพื่อขยายการเดาที่ถูกต้องไปยังเนื้อหาจำนวนมากตามอำเภอใจ

BREACH ใช้ประโยชน์จากการบีบอัดในโปรโตคอล HTTP พื้นฐาน ดังนั้น การปิดการบีบอัด TLS จึงไม่มีผลต่อ BREACH ซึ่งยังคงสามารถทำการโจมตีแบบเลือกข้อความธรรมดาต่อเพย์โหลด HTTP ได้^{[ 2 ]}

ด้วยเหตุนี้ ลูกค้าและเซิร์ฟเวอร์จึงถูกบังคับให้ปิดใช้งานการบีบอัด HTTP อย่างสมบูรณ์ (ซึ่งจะทำให้ประสิทธิภาพลดลง) หรือต้องใช้วิธีแก้ปัญหาเพื่อพยายามขัดขวาง BREACH ในสถานการณ์การโจมตีแต่ละกรณี เช่น การใช้ การป้องกัน การปลอมแปลงคำขอข้ามไซต์ (CSRF) ^{[ 3 ]}

แนวทางที่แนะนำอีกประการหนึ่งคือการปิดใช้งานการบีบอัด HTTP เมื่อใดก็ตามที่ส่วนหัว referrer ระบุคำขอข้ามไซต์ หรือเมื่อไม่มีส่วนหัว^{[ 4 ] [ 5 ]}แนวทางนี้ช่วยให้สามารถลดผลกระทบจากการโจมตีได้อย่างมีประสิทธิภาพโดยไม่สูญเสียฟังก์ชันการทำงาน เพียงแต่ทำให้ประสิทธิภาพลดลงในคำขอที่ได้รับผลกระทบ

อีกแนวทางหนึ่งคือการเพิ่ม padding ที่ระดับ TLS, ส่วนหัว HTTP หรือ payload ในช่วงปี 2013–2014 มีร่างข้อเสนอของ IETF สำหรับส่วนขยาย TLS สำหรับการซ่อนความยาว padding ^{[ 6 ]}ซึ่งในทางทฤษฎีสามารถใช้เป็นมาตรการบรรเทาผลกระทบจากการโจมตีนี้ได้^{[ 4 ]} โดยอนุญาตให้ซ่อนความยาวจริงของ payload TLS ด้วยการแทรก padding เพื่อปัดเศษให้เป็นความยาวที่กำหนดไว้ หรือสุ่มความยาวภายนอก ซึ่งจะช่วยลดโอกาสในการตรวจจับการเปลี่ยนแปลงเล็กน้อยในอัตราส่วนการบีบอัดซึ่งเป็นพื้นฐานของการโจมตี BREACH อย่างไรก็ตาม ร่างข้อเสนอนี้ได้หมดอายุไปแล้วโดยไม่มีการดำเนินการใดๆ เพิ่มเติม

วิธีการบรรเทาผลกระทบที่มีประสิทธิภาพมากคือHTB (Heal-the-BREACH) ^{[ 7 ]}ซึ่งเพิ่มการเติมข้อมูลแบบสุ่มขนาดให้กับข้อมูลที่บีบอัด ทำให้ขนาดของเนื้อหาเอาต์พุตมีความแปรปรวนบ้าง ความสุ่มนี้จะทำให้ BREACH ชะลอการเดาอักขระที่ถูกต้องในโทเค็นลับได้ถึง 500 เท่า (สูงสุด 10 ไบต์) ถึง 500,000 เท่า (สูงสุด 100 ไบต์) HTB ปกป้องเว็บไซต์และหน้าเว็บทั้งหมดในเซิร์ฟเวอร์ด้วยการใช้ CPU น้อยที่สุดและการเพิ่มแบนด์วิดท์น้อยที่สุด

• เว็บไซต์อย่างเป็นทางการของ BREACH
• เครื่องมือที่ใช้ในการโจมตีแบบ BREACH ซึ่งสาธิตให้เห็นในงาน BlackHat 2013
• HEISTเป็นการโจมตีที่เกี่ยวข้องกับการบีบอัดข้อมูลบนตัวโปรแกรมตอบโต้ ซึ่งได้มีการสาธิตให้เห็นในงาน BlackHat 2016