暗号化された Web ページのサイズを調べて、ユーザーが何をしているかを推測することに依存している Web Apps のセキュリティの脆弱性を参照しているこのポイントに出くわしました。これに対する私が考えることができる最も簡単な解決策は、盗聴者が利用できる情報を最小限に抑えるために、(暗号化後に) 少数の結果サイズのみが存在するように、すべての静的コンテンツを縮小するツールを使用することです。
これを行うためのツールはありますか?
2 に答える
1
いいえ、この攻撃を防ぐツールを知りません。その理由は、これが現実の世界では一般的ではない非常に限定的な攻撃だからです。多くの暗号攻撃は、現実の世界ではまったく役に立ちません。
この攻撃を防ぐために、サーバーはメッセージにランダムなパディングを追加できます。非同期スクリプトの場合、ジャンク xml または json 要素を追加できます。それ以外の場合は、html または javascript コメントを追加できます。これは実装するのが簡単であり、これが「ツール」を正当化するとは思いません。
軍事ネットワークは、一定のデータ ストリームを使用して、まさにこの攻撃から防御するためにこれを行います。トランスポート層またはネットワーク層に実装されたイーサだと思います。httpを使用してアプリケーション層でそれを実現するのは難しいでしょう。また、帯域幅は軍事機密よりもはるかに重要ではありませんが、これは Web アプリには当てはまらない可能性があります。
于 2010-03-26T18:45:46.440 に答える
1
静的コンテンツの縮小を行うデフォルトの方法は、HTTP Compressionを有効にすることです。結果サイズの数が少し減ります。
ただし、コンテンツを半分のサイズに縮小した場合、結果のサイズが必ずしも半分になるとは限りません。これは、元のコンテンツで可能なすべてのサイズが使用されている場合にのみ当てはまります。たとえば、元のコンテンツが 10kB、12kB、14kB の 4 つの異なるサイズを提供しているとします。
圧縮によってそれぞれが半分のサイズに縮小された場合でも、5kB、6kB、および 7kB の 3 つの異なるサイズになります。
注明確にするために (そうではないかもしれません): これはむしろ、縮小/圧縮の使用に対するアドバイスです。私のコメントも参照してください。
于 2010-03-26T18:46:49.570 に答える