На конференции Black Hat, прошедшей на прошлой неделе, исследователи анонсировали BREACH атаку, новую атаку на веб приложения, которая может получить доступ к данным, даже если они передаются через SSL соединение.
Документ BREACH (PDF) содержит все подробности (и достаточно несложен для понимания).
Учитывая данную информацию, мы предполагаем, что вполне возможно обойти CSRF защиту в Django, используя BREACH атаку. Таким образом, мы выпускаем данную рекомендацию, чтобы наши пользователи могли организовать защиту.
BREACH использует уязвимости, которые возникают при обработке сжатых данных, передаваемых через SSL/TLS. Соответственно, для защиты от BREACH, вам следует отключить сжатие данных, которые отдаёт ваш сервер. В зависимости от способа размещения вашего приложения на сервере, это можно сделать так:
- Отключить Django GZip мидлварь.
- Отключить GZip сжатие в конигурации вашего веб сервера. Напрмиер, если вы используете Apache, отключите модуль mod_deflate; в nginx надо отключить модуль gzip.
Также, удостоверьтесь что TLS сжатие отключено, настроив SSL шифрование.
Мы планируем принять меры для организации в Django защиты от BREACH, но в настоящий момент мы рекомендуем всем пользователям Django осознать опасность и принять необходимые меры.
1 comment | Make a comment
Немного инфы http://habrahabr.ru/post/191016/