Jak uniknąć ataków BREACH na szynach?

Question

Czytałem o BREACH attack i despites, które jest atak, który obejmuje aplikację sieci web na poziomie serwera, zastanawiałem się, czy jest coś, co blokuje tego rodzaju ataki w Rails.
Znalazłem breach-mitigation-rails, które mówią, że nie jest rozwiązaniem odpornym na kule, tylko po to, aby złagodzić atak w jakiś sposób. Coś jeszcze tam jest?

Answer 1

Prezenterzy BREACH wystawili a website with further details. Wymienione zmniejszania zagrożenia, zamówione przez skuteczności, to:

1. Wyłączenie kompresji HTTP
2. Rozdzielanie tajemnice z wejścia użytkownika
3. losowanie tajemnic na życzenie
4. maskujące tajemnice
5. Ochrona słabych stron z CSRF
6. długość ukrywanie
7. ograniczającym szybkość żądań

Kompresję HTTP można dość łatwo wyłączyć na serwerze, kosztem wydajności.

Adres breach-mitigation-rails gem odnosi się do punktów # 4 i # 6. Prawdopodobnie złamie pamięć podręczną i zwiększy rozmiar strony.

Another interesting fix działa na punkcie 4, bez żadnego negatywnego wpływu na wydajność, ale wymaga javascript (co i tak może pomóc w ograniczeniu wysyłania spamu).

An official fix is also being discussed.

Można również znaleźć ten objęty zakazem Szyny konkretne pytanie ciekawego - https://security.stackexchange.com/questions/39925/breach-a-new-attack-against-http-what-can-be-done.

Answer 2

Nicea częściowe rozwiązanie dla szyn:

http://blog.meldium.com/home/2013/8/2/running-rails-defend-yourself-against-breach

https://github.com/meldium/breach-mitigation-rails