TLS 1.0 Vulnerabilità di JavaScript injection (BEAST): cosa fare lato client?

15

Con le presunte vulnerabilità SSL / TLS utilizzate dall'uso BEAST , sembra che essere un divario di sicurezza tra le versioni di TLS; TLS 1.0 è il problema, ma è ancora l'unica opzione per molti siti.

Se effettivamente c'è un problema con versioni TLS precedenti, quali misure dovremmo prendere, a livello utente, al fine di prevenire possibili attacchi? Penserei che un plugin per il browser per segnalare la versione TLS e consentire le connessioni solo quando sono utilizzate versioni più sicure sarebbe molto utile, ma non sono ancora riuscito a trovarne uno.

Qualche altro suggerimento, suggerimenti pratici ecc.?

    
posta George 23.09.2011 - 14:31
fonte

4 risposte

6

Finché il buco della sicurezza non sarà chiuso da entrambe le parti (web server e browser) sarà difficile prevenirlo. Sfortunatamente, poiché l'exploit attuale ha come target i cookie, hai un controllo minimo sul lato client. L'unica eccezione è quella di modificare i codici di crittografia e bloccare o riordinare i cifrari CBC al minimo preferibile, in modo che abbia la minore probabilità di essere utilizzato per le comunicazioni SSL / TLS.

Vedi link e link su come eseguire questa operazione su Windows.

Suggerirei che la cosa migliore che puoi fare prima che sia disponibile una correzione lato client è l'educazione e la consapevolezza. Tra cui:

  • Esci dai siti Web quando non sono in uso, invece di chiudere il browser.
  • Non salvare le credenziali di accesso.
  • Scopri cosa stanno facendo i tuoi partner commerciali per implementare controlli di sicurezza più rigorosi sui loro siti web.

Immagino sia anche importante notare che non tutti i siti web che utilizzano versioni legacy SSL / TLS sono interessati. Mentre la parte relativa alla sicurezza del trasporto (SSL / TLS) è, potrebbero esserci altre tecniche anti-spoofing per ridurre l'impatto della divulgazione di informazioni.

Resta sintonizzato, preparati a distribuire versioni più recenti del browser e senza dubbio ci saranno presto altre notizie, ma spero che alcune correzioni.

    
risposta data 23.09.2011 - 15:32
fonte
3

Non puoi risolverlo senza l'assistenza del tuo browser. Comunicare con il fornitore del browser per indicare che si desidera visualizzare il supporto per TLS 1.2. (Probabilmente c'è già un bug nel loro bug tracker, probabilmente puoi solo votarlo e monitorarlo, per vedere quando è disponibile una nuova versione del browser con supporto per TLS 1.2.)

Quindi, aspetta.

Ciò che deve accadere è: (1) il supporto per i browser per i siti Web TLS 1.2, (2) implementa il supporto per TLS 1.2. Entrambi richiedono del tempo. Inoltre, c'è stata una situazione di tipo chicken-and-egg, in cui i browser non danno priorità a supportare TLS 1.2 poiché nessun sito lo supporta, e i siti non danno priorità a supportare TLS 1.2 poiché i browser non lo supportano.

    
risposta data 23.09.2011 - 15:48
fonte
3

dal modo in cui questo exploit dovrebbe funzionare come un MitM dall'interno del browser che attacca tramite crittoanalisi ad alta risoluzione em> .....

the current and only solution (limited-security) I can think of (until Browsers & Servers are patched to work with newer versions... gonna take time) is Browsing all your secure sessions from an independent browser (remember not a different instance but a different browser) not used for your usual web-surfing, even any links in your mails and all need to be copied and opened in different browser; also use AdBlocker & NoScript browser plug-ins.

Questo dovrebbe salvaguardare in larga misura. Ad ogni modo, questa è una buona pratica per sessioni sicure, con o senza questo exploit.

link

Per una migliore comprensione di BEAST, potresti avere accesso al documento SSL per esso e al codice Java all'indirizzo link

    
risposta data 23.09.2011 - 15:31
fonte
1

Per ora, Eric Rescorla consiglia di disabilitare Java come soluzione. Ha un lungo post che spiega perché, ma la versione breve è che l'ultima dimostrazione di Duong e Rizzo dell'uso riguarda l'uso di Java. Non vi è alcuna garanzia che questo sia l'unico modo per sfruttare l'attacco, ma sembra essere l'unico modo pratico attualmente conosciuto. Inoltre, dovresti assicurarti che il tuo browser sia aggiornato. Leggi il lungo post sul blog di Eric Rescorla per una spiegazione.

Caveat: la gente sta ancora raccogliendo informazioni sull'attacco. Questo consiglio può cambiare man mano che maggiori informazioni diventano disponibili.

    
risposta data 24.09.2011 - 19:30
fonte

Leggi altre domande sui tag