Django security advisory: BREACH

Onlangs is op een beveiligingscongres de "BREACH attack" aangekondigd. Deze aanval maakt het mogelijk om, onder de juiste omstandigheden, specifieke secrets in SSL versleutelde connecties te achterhalen.

Bij deze aanval wordt gekeken naar het effect op de grootte van de response bij het sturen van een gemanipuleerde URL. De redenering is, simpelgezegd, dat naarmate een bepaalde code in de gemanipuleerde URL dichter in de buurt van een bepaald secret komt (bijvoorbeeld een CSRF token of sessionid), de gecomprimeerde body kleiner wordt.

Deze aanval kan impact hebben op alle websites, hij is niet specifiek beperkt tot Django!

Het advies voor voorlopig is Django's gzip middleware uit te zetten en GZIP compressie in de webserver uit te zetten.

U kunt via onze gratis HTTP Header Analyse tool controleren of uw site gzip compressie gebruikt. Let hierbij op de content-encoding: gzip header.

gzip.png


 

Wilt u weten of uw Python / Django site wel veilig is? Neem contact met ons op om meer informatie te krijgen over onze audit diensten!

Last updated 6 augustus 2013 16:46 | django python security open source

Geen reakties

Post a comment:

captcha