在不告别压缩的情况下缓解 BREACH 攻击

Mitigate BREACH attacks without saying goodbye to compression

提问人:Gui-Don 提问时间:1/16/2015 最后编辑:Gui-Don 更新时间:5/10/2017 访问量:1514

问:

无论我在哪里寻找缓解此漏洞的解决方案,我都会发现类似的东西:

只需禁用 http 压缩即可。

嗯,这很痛苦,因为压缩可以节省大量带宽,还可以使您的网页加载速度更快。此外,我读到的关于 BBREACH 的信息是,攻击者可以使用压缩长度来读取压缩文档中的一些(可能是秘密的)信息。

现在,让我们承认我在加载的页面中确实有一些秘密信息,这并不意味着像 CSS 或 JS 这样的静态资源也有。

那么,它是否是一种解决方案,可以仅对 html 页面(动态或非动态)禁用压缩,并为 CSS 或安全 JS 等非机密资源启用压缩?

Apache 安全性

评论

答:

0赞 Craig London 5/10/2017 #1

以下是我在这里找到的一些潜在解决方案

CSRF代币防御

HTTP 分块编码缓解措施

Referer 检查缓解

https://blog.qualys.com/ssllabs/2013/08/07/defending-against-the-breach-attack

上一个:使用 Apache 反向代理的 React-router url 不匹配

下一个:Steam 发布请求 - 无法加载资源:服务器响应状态为 400(请求错误)