如何避免rails中的BREACH攻擊？

Question

我一直在閱讀關於BREACH attack的消息，並且，我也懷疑是否有什麼東西可以阻止Rails中的這些類型的攻擊。
我發現breach-mitigation-rails，他們說這不是一個防彈解決方案，只是爲了緩解一些攻擊。那邊還有別的東西？

Answer 1

BREACH的發言人已經提出a website with further details。列出的緩解，通過有效性排序，有：

1. 禁用HTTP壓縮
2. 從用戶輸入
3. 隨機化祕密分離祕密每個請求
4. 掩蔽祕密
5. 保護易受傷害的網頁與CSRF
6. 長度隱藏
7. 速率限制請求

在服務器上可以非常容易地禁用HTTP壓縮，但會降低效率。

該breach-mitigation-rails gem地址點＃4和＃6。它很可能會打破緩存並增加頁面大小。

Another interesting fix適用於第4點，對效率沒有任何負面影響，但它確實需要JavaScript（可以幫助減少垃圾郵件提交）。

安official fix is also being discussed。

您可能還會發現這個非專門針對特定問題的問題 - https://security.stackexchange.com/questions/39925/breach-a-new-attack-against-http-what-can-be-done。鋼軌

Answer 2

尼斯部分解決：

http://blog.meldium.com/home/2013/8/2/running-rails-defend-yourself-against-breach

https://github.com/meldium/breach-mitigation-rails