文件名称:rack-timesec:防止定时攻击的机架中间件
文件大小:6KB
文件格式:ZIP
更新时间:2024-07-13 07:49:35
Ruby
机架时间 防止定时攻击的机架中间件。 在定时攻击中,攻击者计算查询发现有关应用程序的敏感信息所需的时间。 过去,众所周知,定时攻击会揭示, 用户名 凭据(或其散列) 密钥 会话 cookie(例如 CVE-2013-0263) 映射授权或防火墙规则 等等。 可以在 Bortz、Boneh 和 Nandy 的“通过定时 Web 应用程序公开私人信息”中找到对 Web 应用程序的定时攻击的权威描述。 请参阅 。 概述 这个 gem 实现了上面提到的论文中描述的防御。 它延迟请求,以便它们需要 100 毫秒的倍数才能完成。 100ms 的值是可配置的; 增加它会导致站点响应变慢,而减少它会使应用程序更容易受到攻击。 必须针对每个应用程序调整此参数。 (请注意,随机延迟已被证明不能阻止这些攻击,这就是为什么这里没有实施它们) 安装 更新您的 gemfile。 现在,使用 gem 'r
【文件预览】:
rack-timesec-master
----LICENSE(1KB)
----README.md(6KB)
----lib()
--------rack()
--------rack-timesec.rb(23B)
----TODO.md(674B)
----rack-timesec.gemspec(461B)
----Gemfile(51B)