2

我刚刚遇到了这一点,它引用了 Web 应用程序中的一个安全漏洞,该漏洞依赖于查看加密网页的大小来推断使用情况。我能想到的最简单的解决方案是使用一种工具来缩小所有静态内容,以便(在加密之后)只存在少量结果大小,从而最大限度地减少窃听者可用的信息。

有什么工具可以做到这一点吗?

4

2 回答 2

1

不,我不知道有什么工具可以防止这种攻击。原因是因为这是一种非常有限的攻击,在现实世界中并不常见。许多加密攻击在现实世界中完全没有用。

为了防止这种攻击,服务器可以向消息添加随机填充。对于异步脚本,您可以添加垃圾 xml 或 json 元素。在其他情况下,您可以添加 html 或 javascript 注释。这是微不足道的实现,我不认为这需要一个“工具”。

军事网络这样做是为了通过使用恒定的数据流来防御这种攻击。我认为它在传输层或网络层上实现了以太。使用 http 在应用程序层上实现这一点会很棘手。此外,带宽不如军事机密重要,因为您的 Web 应用程序可能并非如此。

于 2010-03-26T18:45:46.440 回答
1

缩小静态内容的默认设置是启用HTTP 压缩。它会稍微减少结果大小的数量。

但是请考虑,如果将内容缩小到一半大小,结果大小不一定只有一半!仅当您的原始内容使用所有可能的大小时,才会出现这种情况。假设您的原始内容提供 4 种不同的大小:10kB、12 kB 和 14 kB

如果您的压缩将它们中的每一个缩小到一半大小,您仍然会得到三种不同的大小:5kB、6kB 和 7kB。

注意为了清楚起见(也许不是):这是一个反对使用缩小/压缩的建议。另见我的评论。

于 2010-03-26T18:46:49.570 回答