6

我一直在阅读有关BREACH 攻击的信息,尽管这也是一种涉及服务器级别的 Web 应用程序的攻击,但我想知道 Rails 中是否有阻止此类攻击的方法。
我发现他们说的破坏缓解轨道不是防弹解决方案,只是为了以某种方式减轻攻击。周围还有什么?

4

2 回答 2

7

BREACH 的演讲者已经建立了一个网站,提供更多细节。列出的缓解措施,按有效性排序,是:

  1. 禁用 HTTP 压缩
  2. 从用户输入中分离秘密
  3. 每个请求随机化秘密
  4. 掩盖秘密
  5. 使用 CSRF 保护易受攻击的页面
  6. 长度隐藏
  7. 限速请求

HTTP 压缩可以很容易地在服务器上禁用,但会牺牲效率。

bypass -mitigation-rails gem解决了第 4 点和第 6 点。它可能会破坏缓存并增加页面大小。

另一个有趣的修复适用于第 4 点,对效率没有任何负面影响,但它确实需要 javascript(无论如何,这有助于减少垃圾邮件提交)。

官方修复也正在讨论中。

您可能还会发现这个与 Rails 无关的问题很有趣 - https://security.stackexchange.com/questions/39925/breach-a-new-attack-against-http-what-c ​​an-be-done 。

于 2013-08-08T03:22:45.573 回答
-1

很好的导轨部分解决方案:

http://blog.meldium.com/home/2013/8/2/running-rails-defend-yourself-against-breach

https://github.com/meldium/breach-mitigation-rails

于 2014-03-25T08:06:35.303 回答