在我访问的Goodreads页面的源代码末尾,在关闭</html>标签后有以下代码:
...
</body>
</html>
<!-- This is a random-length HTML comment: ocufpknrqrhggkynniqfuunofiuufunhjtvapgfyvsxfvvvbzfwkhqfazmhydbqfqvymamwthwllkpxvkjqssgqopoiozifoxillqstontzzzmtwkjbmmwfejssorsfxixtsxgcrzuhiuhjnfczeprcmnieowarxsjkpojgjwlecvuitlenftpreqovysmfmjgtjsxingjkgqnjmtugnzbfsyrynrxkmjjcowffwkbmjlwqqbatwdzlhzzlbhfwiugmnezcahpxpsdaoljnpgfxgglcyiqvgyocrclrgpelgzjbdkcnvudiopkhwkiyghooichcafzjduixdqtkktymvdpmjrheiurooozutdbuoalrhwmmvlwbutrovxfwfkkwbvzppivfipkgoimpymmvixdiyvlapjxiqqgrohlibleuzpxdrmrfclrtdyxrtmldqusmvypkkssxibaxynxomxoxmrvmrweorjmehqrsbxebgijcychltpiapnuoxlhhlhirkrwmfnwvntdscnlikiczqvgpmpsiwkudnioehxnqlbtlwzqvnbbgpyngdnjqydtyxqfphrdcvidpdkcdbtdkfgermhgjhlajhlliktyujtchswfvvdjjxqqjmkfojlsdgozixmhpeaeozguqnnzpsbfzaxvmreqvjbygrbwoeheuzabjrcfxqiugqneeondxtppqfkbvwkcjcqlixrqzhfocaezrzxhkvwotraniyuireggwjegzblwbygqjywdaxcmvzlkpfrzluhgigjyyspvnfcrlbgjicxpahpikcvfhbuiwfgoajcicjomijozrisrtyicucbfqczyvpjlmlxemibangnvyeboattdcpveemtydcowutgegwckzsitkrttkspzxzbcn -->
这样做的目的是什么?
当我搜索短语"This is a random-length HTML comment"(这是一个随机长度的HTML注释(时,我会得到与breach-mitigation-rails和SendGrid API v3相关的结果。
这似乎与缓解Breaach攻击有关:
3.1.长度隐藏攻击的关键是能够测量密文的长度。因此缓解措施是向攻击者隐藏这些信息。看起来尽管这应该是简单和容易的;可以简单地添加一个随机每个响应的垃圾数据量。那当然是真正的长度的密文将被隐藏。
但是:
虽然这一措施确实会使攻击耗时更长,但它只会轻微地对策要求攻击者发布更多请求,并衡量更多响应的大小,但不足以使攻击不可行。通过重复请求并对相应响应的大小,攻击者可以快速了解密文的真实长度。这基本上可以归结为在这种情况下,平均值的标准误差是反的与N成比例,其中N是重复请求的数量攻击者对每一个猜测都作出了解释。为了讨论长度隐藏在稍微不同的上下文中,请参见[7]。我们也评论IETF工作组正在制定一项提案将长度隐藏添加到TLS[6]。
http://breachattack.com/resources/BREACH%20-%20SSL,%20gone%20in%2030%20seconds.pdf