Symfony 5.3中的新功能:更好的防御BREACH攻击(中文翻译)

2021-05-16  by  

什么是BREACH攻击?

BREACH是针对HTTPS的安全漏洞。使用HTTP压缩时,可以首先执行盲目的蛮力搜索以猜测几个字节,然后进行分治式搜索以扩展一个字节。对任意数量的内容进行正确的猜测。

简单理解 BREACH: 在传输过程中,可以根据传输过程中的信息包, 推测Cookie等比较敏感的信息。BREACH 就是指通过HTTP压缩这个通道来完成这样的工作。

对策

如果攻击者可以读取您的加密流量的大小,并且还可以发出带有CSRF令牌的任意数量的HTTP请求,则您的站点将受到威胁。缓解此攻击的传统方法是禁用HTTP压缩,这会严重损害性能。

另一个可能的解决方案是确保CSRF令牌包括一些随机性,以防止响应中重复输出。这就是在Symfony 5.3中 CSRF令牌会自动随机化的原因

该随机化过程对应用程序是透明的,因此您无需配置任何内容,也无需更改应用程序代码。如果由于此攻击而在使用HTTPS时禁用了压缩,请升级到Symfony 5.3并再次启用压缩以提高站点性能。

从长远来看,这是为什么使用像Symfony这样的专业框架会更好的另一个原因。Symfony将保护您的应用程序和用户免受许多常见的安全漏洞的侵害,即使您不知道这些漏洞也是如此。

原文地址

New in Symfony 5.3: Better Protection Against BREACH Attack

找到错别字了?本文档有什么问题么?分叉并编辑 它 !

CJayhe

谢谢您的赞赏~

使用微信扫描二维码完成支付

抱歉弹框打扰,系统检测到您今日累计浏览时长已达120秒。如果我们的项目对您有帮助,在 关闭窗口之前,希望能够阅读弹框内容,帮助我们变得更好。

一个成功的项目,实现功能只是基础,合理的架构,对资源的调度能力才是灵魂。 PHPZlc, 致力于在Symfony的基础上提供“知行合一”的项目开发方案。

如果您有关切问题和好的想法:

提交

如果您想帮助我们,可以为我们点亮星星,也可以提供资金支持。

您还可以通过以下渠道,关注我们,获取最新的框架动态,帮助项目获取人气,扩大影响力。

开源伙伴招募:https://phpzlc.com/blog/11.html

由于我们无法获取您是否已经是我们的会员了,所以此弹框每日都会弹出一次,关闭