Top Ad unit 728 × 90

Breaking News

軟體下載

Facebook 公佈最新駭客攻擊防禦技術細節

Facebook 公佈最新駭客攻擊防禦技術細節

Facebook近日在其Blog中公佈瞭如何防禦BREACH(通過自適應超文本壓縮進行的瀏覽器偵測與漏出)攻擊。

超文本(Hypertext)是用超鏈結的方法,將各種不同空間的文字訊息組織在一起的網狀文本。概括的說,超文本就是收集,存儲磨合瀏覽離散訊息以及建立和表現訊息之間關聯的技術。
  • 超文本是一種用戶介面,用以顯示文本及與文本之間相關的內容。現時超文本普遍以電子文檔方式存在,其中的文字包含有可以鏈結到其他位置或者文檔的連結,允許從當前閱讀位置直接切換到超文本連結所指向的位置。
  • 超文本的格式有很多,目前最常使用的是超文本標記語言(Hyper Text Markup Language,HTML)及富文本格式 (Rich Text Format,RTF)。日常瀏覽的網頁上的鏈結都屬於超文本。
  • 超文本是一種按訊息之間關係非線性地存儲、組織、管理和瀏覽訊息的計算機技術。超文本技術將自然語言文本和計算機互動式地轉移或動態顯示線性文本的能力結合在一起,它的本質和基本特徵就是在文檔內部和文檔之間建立關係,正是這種關係給了文本以非線性的組織。 

BREACH攻擊與企業處理CSRF跨站請求偽造)攻擊時採用的安全措施有關,BREACH專門針對那些擁有用戶帳戶的網站。

在CSRF攻擊中,攻擊者會假冒用戶並讓用戶的瀏覽器發送垃圾訊息或者以web請求的方式竊取用戶在網路上的帳戶。

而Facebook這樣的公司則會利用CSRF令牌來標記真實用戶或被黑帳戶,來防止攻擊。但是在新的BREACH攻擊面前這種方法失靈了。在一些環境中,網頁獲取壓縮超文本的方式使得黑客能夠發現用戶的CSRF證書,即使用戶與網站之間的通訊採取了加密措施也無濟於事。

Facebook目前通過在CSRF令牌中增加一個新的安全層來對付BREACH攻擊,具體做法如下:

某用戶一天中如果產生了三個Facebook會話,那麼每個會話都會受到一個同樣的CSRF令牌,如今Facebook的系統會為每一次用戶請求發放一個新的令牌,這些新令牌通過24位鹽化隨機產生,“鹽”是令牌結尾最後四個字母。這能夠徹底避免令牌的重複問題。新的令牌發布後,此前​​的令牌還將保持幾天有效期,這意味著同一時期會有多個令牌處於有效期。

據Facebook安全與基礎架構團隊介紹,在CSRF令牌中引入隨機字母序列的做法足以挫敗依賴令牌重複性的BREACH攻擊。

Facebook 公佈最新駭客攻擊防禦技術細節 Reviewed by Whoops SEO on 6:04 下午 Rating: 5

沒有留言:

All Rights Reserved by TechRoomage | 科技空間 © 2014 - 2015
Designed by TechRoomage

聯絡表單

名稱

以電子郵件傳送 *

訊息 *

技術提供:Blogger.