私はBREACH 攻撃について読んでいましたが、これはサーバー レベルの Web アプリケーションも関与する攻撃であるにもかかわらず、Rails でこの種の攻撃をブロックする何かがあるかどうか疑問に思っていました。
私は、攻撃を何らかの形で緩和するためだけに、防弾ソリューションではないと彼らが言う違反軽減レールを見つけました。その辺に何かある?
質問する
1801 次
2 に答える
7
BREACH のプレゼンターは、詳細を記載した Web サイトを公開しています。リストされている軽減策は、有効性の順に次のとおりです。
- HTTP 圧縮の無効化
- ユーザー入力からシークレットを分離する
- リクエストごとのシークレットのランダム化
- マスキングの秘密
- CSRF による脆弱なページの保護
- 長さ隠し
- レート制限リクエスト
HTTP 圧縮は、効率を犠牲にして、サーバーでかなり簡単に無効にすることができます。
violation -mitigation-rails gemは、ポイント 4 と 6 に対処します。キャッシュが壊れてページサイズが大きくなる可能性があります。
別の興味深い修正はポイント 4 で機能し、効率に悪影響を与えることはありませんが、javascript が必要です (いずれにせよ、スパムの送信を減らすのに役立ちます)。
公式の修正も検討中です。
このレール固有ではない質問も興味深いかもしれません - https://security.stackexchange.com/questions/39925/breach-a-new-attack-against-http-what-can -be-done 。
于 2013-08-08T03:22:45.573 に答える
-1
于 2014-03-25T08:06:35.303 に答える