如何避免rails中的BREACH攻击?

时间:2013-08-07 17:11:42

标签: ruby-on-rails security ssl csrf

我一直在阅读关于BREACH attack的问题,而且,这也是涉及服务器级别的Web应用程序的攻击,我想知道是否有什么东西可以阻止Rails中的这类攻击。 /> 我发现breach-mitigation-rails他们说不是防弹解决方案,只是为了缓解某些攻击。那边还有别的吗?

2 个答案:

答案 0 :(得分:6)

BREACH的主持人提出a website with further details。列出的缓解措施按有效性排序:

  1. 禁用HTTP压缩
  2. 将秘密与用户输入分开
  3. 按要求随机分配秘密
  4. 掩盖秘密
  5. 使用CSRF保护易受攻击的页面
  6. 长度隐藏
  7. 限速请求

    8. 在服务器上可以很容易地禁用HTTP压缩,但效率会降低。

    breach-mitigation-rails gem地址分别为#4和#6。它可能会破坏缓存并增加页面大小。

    Another interesting fix适用于第4点,不会对效率产生负面影响,但它确实需要javascript(无论如何都可以帮助减少垃圾邮件提交)。

    official fix is also being discussed

    您可能还会发现这个非特定于轨道的问题很有趣 - https://security.stackexchange.com/questions/39925/breach-a-new-attack-against-http-what-can-be-done

答案 1 :(得分:-1)

rails的部分解决方案:

http://blog.meldium.com/home/2013/8/2/running-rails-defend-yourself-against-breach

https://github.com/meldium/breach-mitigation-rails

相关问题
最新问题