如何避免 Rails 中的 BREACH 攻击?
Posted
技术标签:
【中文标题】如何避免 Rails 中的 BREACH 攻击?【英文标题】:How to avoid BREACH attacks in rails? 【发布时间】:2013-08-09 04:41:26 【问题描述】:我一直在阅读有关 BREACH attack 的信息,尽管这也是一种涉及服务器级别的 Web 应用程序的攻击,但我想知道 Rails 中是否有阻止此类攻击的方法。 我发现breach-mitigation-rails 他们说这不是一个防弹解决方案,只是为了以某种方式减轻攻击。附近还有什么?
【问题讨论】:
【参考方案1】:BREACH 的演示者已提交a website with further details。列出的缓解措施(按有效性排序)是:
-
禁用 HTTP 压缩
从用户输入中分离秘密
根据请求随机化秘密
掩盖秘密
使用 CSRF 保护易受攻击的页面
长度隐藏
限速请求
HTTP 压缩可以很容易地在服务器上禁用,但会牺牲效率。
breach-mitigation-rails gem 地址点 #4 和 #6。它可能会破坏缓存并增加页面大小。
Another interesting fix 适用于第 4 点,对效率没有任何负面影响,但它确实需要 javascript(无论如何这有助于减少垃圾邮件提交)。
一个official fix is also being discussed。
您可能还会发现这个与 Rails 无关的问题很有趣 - https://security.stackexchange.com/questions/39925/breach-a-new-attack-against-http-what-can-be-done。
【讨论】:
【参考方案2】:很好的轨道部分解决方案:
http://blog.meldium.com/home/2013/8/2/running-rails-defend-yourself-against-breach
https://github.com/meldium/breach-mitigation-rails
【讨论】:
糟糕,我错过了原始答案中的链接,抱歉重复。以上是关于如何避免 Rails 中的 BREACH 攻击?的主要内容,如果未能解决你的问题,请参考以下文章