随机长度HTML注释

在我访问的一个页面的源代码末尾，在关闭

标记之后有以下代码：

...
</body>
</html>

<!-- This is a random-length HTML comment: ocufpknrqrhggkynniqfuunofiuufunhjtvapgfyvsxfvvvbzfwkhqfazmhydbqfqvymamwthwllkpxvkjqssgqopoiozifoxillqstontzzzmtwkjbmmwfejssorsfxixtsxgcrzuhiuhjnfczeprcmnieowarxsjkpojgjwlecvuitlenftpreqovysmfmjgtjsxingjkgqnjmtugnzbfsyrynrxkmjjcowffwkbmjlwqqbatwdzlhzzlbhfwiugmnezcahpxpsdaoljnpgfxgglcyiqvgyocrclrgpelgzjbdkcnvudiopkhwkiyghooichcafzjduixdqtkktymvdpmjrheiurooozutdbuoalrhwmmvlwbutrovxfwfkkwbvzppivfipkgoimpymmvixdiyvlapjxiqqgrohlibleuzpxdrmrfclrtdyxrtmldqusmvypkkssxibaxynxomxoxmrvmrweorjmehqrsbxebgijcychltpiapnuoxlhhlhirkrwmfnwvntdscnlikiczqvgpmpsiwkudnioehxnqlbtlwzqvnbbgpyngdnjqydtyxqfphrdcvidpdkcdbtdkfgermhgjhlajhlliktyujtchswfvvdjjxqqjmkfojlsdgozixmhpeaeozguqnnzpsbfzaxvmreqvjbygrbwoeheuzabjrcfxqiugqneeondxtppqfkbvwkcjcqlixrqzhfocaezrzxhkvwotraniyuireggwjegzblwbygqjywdaxcmvzlkpfrzluhgigjyyspvnfcrlbgjicxpahpikcvfhbuiwfgoajcicjomijozrisrtyicucbfqczyvpjlmlxemibangnvyeboattdcpveemtydcowutgegwckzsitkrttkspzxzbcn -->

。。。

这样做的目的是什么

---

当我搜索短语“”时，我会得到与和相关的结果。

它似乎与：

3.1。长度隐藏。攻击的关键是能够测量密文的长度。因此，这是一种自然的尝试 缓解措施是对攻击者隐藏此信息。似乎 虽然这应该是简单和容易的；可以简单地添加一个随机变量 每个响应的垃圾数据量。那么真正的长度呢 密文的密码将被隐藏

然而：

虽然这项措施确实会延长攻击时间，但它只是这样做 轻微地对策要求攻击者发出更多信息 请求，并测量更多响应的大小，但不足以 使攻击不可行。通过重复请求并平均 相应响应的大小，攻击者可以快速了解 密码文本的真实长度。这基本上可以归结为 事实上，在这种情况下，平均值的标准误差是相反的 与N成比例，其中N是重复请求的数量 攻击者对每一个猜测都有把握。来讨论 长度隐藏在稍微不同的上下文中，请参见[7]。我们也 评论说，有一个IETF工作组正在制定一项 将长度隐藏添加到TLS[6]

---

它可能是任何东西…！？即使有一些共同的目的，在这个特定的例子中，它也可能只是一些随机程序员的狂热梦想。根据页面的实际内容，这可以用来确保entore页面的大小大于512字节。IE曾经有过一个问题，就是提供比这个小的滞后时间。。。虽然我认为这是一个错误页面特定的问题…这不是一个不合理的问题，但它可能只能由goodreads的任何人首先负责。（它出现在他们的每一个页面上，所以这显然是有意的，但这肯定不是常见的做法。）我最好的猜测是，这是一种SEO尝试，让页面内容在搜索引擎看来经常改变；但这只是一个猜测，我甚至不知道它是否会起作用。我的观点是正确的，显然这是一种常见的做法！这是一个很好的发现，@user57423--你应该把它作为一个真实的答案发布；这是“缓解措施”下的第6项。很好。所以我们今天都学到了一些东西：-）