Symfony 5.3的新功能:更好的防御BREACH攻击(中文翻译)

原创
05/16 20:35
阅读数 31

什么是BREACH攻击?

BREACH是针对HTTPS的安全漏洞。使用HTTP压缩时,可以首先执行盲目的蛮力搜索以猜测几个字节,然后进行分治式搜索以扩展一个字节。对任意数量的内容进行正确的猜测。

对策

如果攻击者可以读取您的加密流量的大小,并且还可以发出带有CSRF令牌的任意数量的HTTP请求,则您的站点将受到威胁。缓解此攻击的传统方法是禁用HTTP压缩,这会严重损害性能。

另一个可能的解决方案是确保CSRF令牌包括一些随机性,以防止响应中重复输出。这就是在Symfony 5.3中 CSRF令牌会自动随机化的原因

该随机化过程对应用程序是透明的,因此您无需配置任何内容,也无需更改应用程序代码。如果由于此攻击而在使用HTTPS时禁用了压缩,请升级到Symfony 5.3并再次启用压缩以提高站点性能。

从长远来看,这是为什么使用像Symfony这样的专业框架会更好的另一个原因。Symfony将保护您的应用程序和用户免受许多常见的安全漏洞的侵害,即使您不知道这些漏洞也是如此。

相关

官方博客翻译,如有瑕疵,请在评论中指正。

更多技术交流点击加入Q群: 「 phpzlc & symfony4+ 」

如翻译需要调整,请前往以下链接阅读最新文档

翻译修正编辑源文

展开阅读全文
打赏
0
0 收藏
分享
加载中
更多评论
打赏
0 评论
0 收藏
0
分享
返回顶部
顶部