0

私は最近このドキュメントを読みましたhttp://www.kb.cert.org/vuls/id/987798 そして私の質問は、なぜランダムなさまざまな長さのHTTPヘッダーを追加しないのかということです

HTTP 200 OK
Cache-Control:public, max-age=60
Content-Encoding:gzip
Content-Length:11669
Content-Type:text/html; charset=utf-8
asdfnak4r9q38:asdbf2984rqf // Header with random name and random value with various length

また、html の head セクションにランダムなデータを追加することもできます。

なぜ私は間違っているのですか?そして、なぜこの解決策がうまくいかないのでしょうか?

ありがとう

4

1 に答える 1

1

ランダム ヘッダーの長さが均一に分散されていると仮定すると、攻撃を実際に軽減することなく、推測を確実にするために必要なリクエストの数を増やすだけのノイズが追加されます。

各推測が、ランダムな長さのヘッダーによって導入されたエントロピーを均等にするのに十分な回数再生された場合でも、平均して、正しい推測は間違った推測よりも短くなります。

CRIME および TIME 攻撃と同様に、修正は HTTP 圧縮を無効にすることです。

于 2013-11-13T03:58:44.397 に答える