国产精品香蕉在线观看网,亚洲欧美精品综合在线观看,亚洲不卡av一区二区无码不卡,亚洲日本精品国产第一区二区

　　Facebook近日在博客中公布了如何防御BREACH(通過自適應(yīng)超文本壓縮進(jìn)行的瀏覽器偵測與漏出)攻擊。

　　BREACH攻擊與企業(yè)處理CSRF(跨站請求偽造)攻擊時采用的安全措施有關(guān)，BREACH專門針對那些擁有用戶賬戶的網(wǎng)站。

　　在CSRF攻擊中，攻擊者會假冒用戶并讓用戶的瀏覽器發(fā)送垃圾信息或者以web請求的方式竊取用戶在網(wǎng)絡(luò)上的賬戶。

　　而Facebook這樣的公司則會利用CSRF令牌來標(biāo)記真實(shí)用戶或被黑賬戶，來防止攻擊。但是在新的BREACH攻擊面前這種方法失靈了。在一些環(huán)境中，網(wǎng)頁獲取壓縮超文本的方式使得黑客能夠發(fā)現(xiàn)用戶的CSRF證書，即使用戶與網(wǎng)站之間的通訊采取了加密措施也無濟(jì)于事。

　　Facebook目前通過在CSRF令牌中增加一個新的安全層來對付BREACH攻擊，具體做法如下：

　　某用戶一天中如果產(chǎn)生了三個Facebook會話，那么每個會話都會受到一個同樣的CSRF令牌，如今Facebook的系統(tǒng)會為每一次用戶請求發(fā)放一個新的令牌，這些新令牌通過24位鹽化隨機(jī)產(chǎn)生，“鹽”是令牌結(jié)尾最后四個字母。這能夠徹底避免令牌的重復(fù)問題。新的令牌發(fā)布后，此前的令牌還將保持幾天有效期，這意味著同一時期會有多個令牌處于有效期。

　　據(jù)Facebook安全與基礎(chǔ)架構(gòu)團(tuán)隊(duì)介紹，在CSRF令牌中引入隨機(jī)字母序列的做法足以挫敗依賴令牌重復(fù)性的BREACH攻擊。