Alt*_*gos 6 security ssl ruby-on-rails csrf
我一直在阅读有关BREACH攻击的内容,并且认为这是一种涉及服务器级别的Web应用程序的攻击,我想知道是否有什么东西可以阻止Rails中的这种攻击.
我发现他们认为违反缓解措施不是防弹解决方案,只是为了缓解某些攻击.还有别的吗?
BREACH的主持人已经建立了一个网站,其中包含更多细节.按有效性排序的列出的缓解措施包括:
可以在服务器上相当容易地禁用HTTP压缩,但代价是效率.
将违反减缓护栏宝石地址点#4和#6.它可能会破坏缓存并增加页面大小.
另一个有趣的解决方案适用于第4点,没有对效率产生负面影响,但它确实需要javascript(无论如何都可以帮助减少垃圾邮件提交).
一个正式的修复也正在讨论之中.
您可能还会发现这个非特定于轨道的问题很有趣 - https://security.stackexchange.com/questions/39925/breach-a-new-attack-against-http-what-can-be-done.
| 归档时间: |
|
| 查看次数: |
1559 次 |
| 最近记录: |