安全公告:BREACH 和 Django
在上周的 Black Hat 大会上,研究人员宣布了BREACH 攻击,这是一种针对 Web 应用的新型攻击,即使在使用 SSL 连接的情况下也能恢复数据。BREACH 论文(PDF)包含完整细节(并且读起来相当容易理解)。
根据我们目前掌握的信息,我们认为BREACH 可能被用来破坏 Django 的 CSRF 保护。因此,我们发布此公告,以便我们的用户能够保护自己。
BREACH 利用了在 SSL/TLS 上提供压缩数据时的漏洞。因此,要保护自己免受 BREACH 的攻击,您应该禁用 Web 响应的压缩。根据您的应用程序部署方式,这可能需要采取几种形式
- 禁用Django 的 GZip 中间件。
- 在 Web 服务器的配置中禁用 GZip 压缩。例如,如果您使用的是 Apache,则需要禁用mod_deflate;在 nginx 中,您需要禁用gzip 模块。
此外,您应该确保通过调整服务器的 SSL 密码来禁用 TLS 压缩。
我们计划采取措施在 Django 本身解决 BREACH,但在此期间,我们建议所有 Django 用户了解此漏洞并在必要时采取措施。
返回顶部