Czytałem o BREACH attack i despites, które jest atak, który obejmuje aplikację sieci web na poziomie serwera, zastanawiałem się, czy jest coś, co blokuje tego rodzaju ataki w Rails.
Znalazłem breach-mitigation-rails, które mówią, że nie jest rozwiązaniem odpornym na kule, tylko po to, aby złagodzić atak w jakiś sposób. Coś jeszcze tam jest?Jak uniknąć ataków BREACH na szynach?
Odpowiedz
Prezenterzy BREACH wystawili a website with further details. Wymienione zmniejszania zagrożenia, zamówione przez skuteczności, to:
- Wyłączenie kompresji HTTP
- Rozdzielanie tajemnice z wejścia użytkownika
- losowanie tajemnic na życzenie
- maskujące tajemnice
- Ochrona słabych stron z CSRF
- długość ukrywanie
- ograniczającym szybkość żądań
Kompresję HTTP można dość łatwo wyłączyć na serwerze, kosztem wydajności.
Adres breach-mitigation-rails gem odnosi się do punktów # 4 i # 6. Prawdopodobnie złamie pamięć podręczną i zwiększy rozmiar strony.
Another interesting fix działa na punkcie 4, bez żadnego negatywnego wpływu na wydajność, ale wymaga javascript (co i tak może pomóc w ograniczeniu wysyłania spamu).
An official fix is also being discussed.
Można również znaleźć ten objęty zakazem Szyny konkretne pytanie ciekawego - https://security.stackexchange.com/questions/39925/breach-a-new-attack-against-http-what-can-be-done.
Nicea częściowe rozwiązanie dla szyn:
http://blog.meldium.com/home/2013/8/2/running-rails-defend-yourself-against-breach
- 1. Parametry sanitize $ _GET, aby uniknąć XSS i innych ataków
- 2. Czy mogę uniknąć ataków typu SQL injection przy użyciu parametrów?
- 3. Jak działa miliardowy śmiech ataków XML DoS?
- 4. Zapis na szynach konsolę
- 5. Angular2 Sanitize Form Input dla ataków XSS
- 6. Jak zmienić trasę w ruby na szynach?
- 7. Jak umiędzynarodowić zawartość ruby na szynach?
- 8. Jak przesłać plik w Ruby na szynach?
- 9. Jak manipulować DOM z Ruby na szynach
- 10. OWASP dziesięć pierwszych ataków i ochrona wiosenna
- 11. var_dump i umrze jak php, w rubinach na szynach (debugowanie w rubinach na szynach)
- 12. Pomocników ścieżki Ruby na szynach
- 13. Jak sprawdzić swój adres URL dla ataków iniekcyjnych SQL?
- 14. R - Jak uniknąć pętli na liście plików
- 15. Ograniczanie ataków typu brute force w Django
- 16. najlepszy rubin na szynach cms
- 17. Haml-Rails na szynach 4.0?
- 18. Jak prekompilować aktywa w środowisku programistycznym na ruby na szynach?
- 19. Problemy z rubinami na szynach na heroku
- 20. jak uniknąć skojarzeń polimorficznych
- 21. Jak uniknąć System.IO.PathTooLongException?
- 22. Existential antipattern, jak uniknąć
- 23. Jak uniknąć NHibernate.NonUniqueObjectException
- 24. Jak uniknąć downcast?
- 25. Kompresja GZIP na problemie bezpieczeństwa ruchu HTTPS z attacheiem BREACH/CRIME?
- 26. Bash: Jak uniknąć $ @?
- 27. Jak uniknąć zagnieżdżonych ciężarów?
- 28. Jak uniknąć konstruktorów kodów?
- 29. Jak uniknąć flashowania WPF
- 30. Jak uniknąć etykiet wejść
Co to dodać do zaakceptowanej odpowiedzi? –
Ups, brakowało mi linku w oryginalnej odpowiedzi, przepraszam za duplikowanie. –