在我访问的Goodreads页面的源代码末尾,在</html>结束标记之后,有以下代码:
...
</body>
</html>
<!-- This is a random-length HTML comment: ocufpknrqrhggkynniqfuunofiuufunhjtvapgfyvsxfvvvbzfwkhqfazmhydbqfqvymamwthwllkpxvkjqssgqopoiozifoxillqstontzzzmtwkjbmmwfejssorsfxixtsxgcrzuhiuhjnfczeprcmnieowarxsjkpojgjwlecvuitlenftpreqovysmfmjgtjsxingjkgqnjmtugnzbfsyrynrxkmjjcowffwkbmjlwqqbatwdzlhzzlbhfwiugmnezcahpxpsdaoljnpgfxgglcyiqvgyocrclrgpelgzjbdkcnvudiopkhwkiyghooichcafzjduixdqtkktymvdpmjrheiurooozutdbuoalrhwmmvlwbutrovxfwfkkwbvzppivfipkgoimpymmvixdiyvlapjxiqqgrohlibleuzpxdrmrfclrtdyxrtmldqusmvypkkssxibaxynxomxoxmrvmrweorjmehqrsbxebgijcychltpiapnuoxlhhlhirkrwmfnwvntdscnlikiczqvgpmpsiwkudnioehxnqlbtlwzqvnbbgpyngdnjqydtyxqfphrdcvidpdkcdbtdkfgermhgjhlajhlliktyujtchswfvvdjjxqqjmkfojlsdgozixmhpeaeozguqnnzpsbfzaxvmreqvjbygrbwoeheuzabjrcfxqiugqneeondxtppqfkbvwkcjcqlixrqzhfocaezrzxhkvwotraniyuireggwjegzblwbygqjywdaxcmvzlkpfrzluhgigjyyspvnfcrlbgjicxpahpikcvfhbuiwfgoajcicjomijozrisrtyicucbfqczyvpjlmlxemibangnvyeboattdcpveemtydcowutgegwckzsitkrttkspzxzbcn -->
这是什么目的?
当我搜索短语“ This is a random-length HTML comment”时,会得到与breach-mitigation-rails和SendGrid API v3相关的结果。
答案 0 :(得分:1)
它似乎与mitigating和BREACH attack有关:
3.1。长度隐藏。攻击的关键在于能够测量密文的长度。因此,自然会尝试 缓解措施是向攻击者隐藏此信息。好像 尽管这应该是简单和容易的;一个人可以简单地添加一个随机数 每个响应的垃圾数据量。当然是真实长度 的密文将被隐藏。
但是:
虽然此措施确实会使攻击花费更长的时间,但它只会这样做 略。对策要求攻击者发布更多信息 请求,并衡量更多响应的大小,但不足以 使攻击变得不可行。通过重复请求并平均 相应的响应大小,攻击者可以快速了解 密文的真实长度。这本质上可以归结为 在这种情况下,均值的标准误是相反的事实 与N成正比,其中N是重复请求的数量 攻击者会为每一个猜测。对于极限的讨论 隐藏长度略有不同的上下文,请参见[7]。我们也 评论说有一个IETF工作组正在制定提案 在TLS [6]中添加隐藏长度。
http://breachattack.com/resources/BREACH%20-%20SSL,%20gone%20in%2030%20seconds.pdf