Utilizziamo "crypto.js" nella nostra applicazione.
Dato che "crypto.js" utilizza SSL aperto, siamo vulnerabili all'attacco di heartbleeding?
Se sì, cosa possiamo fare per impedirlo?
Se sfoglia la fonte Crypto.js , non implementa TLS (o SSL) e come tale non può implementare l'estensione TLB Heartbeats. Non implementando TLS o Heartbeat, non può avere la vulnerabilità Heartbeat sfruttata da Heartbleed (fidandosi della lunghezza del payload in una richiesta HB anche se è più lunga del messaggio originale e riecheggia tanti dati).
Sì, ci sono un paio di riferimenti a OpenSSL in cryptoJS (tutti all'interno di cipher-core.js , ma questi sono semplicemente in risposta all'utilizzo di un formato di chiave OpenSSL (ad esempio, il suo codice in codice definito all'interno di cryptoJS con CryptoJS.format.OpenSSL
) o utilizzando una chiave OpenSSL- derivation-function ( OpenSSLKdf = C_kdf.OpenSSL
). Nota, cryptojs non si collega alla libreria OpenSSL o chiama l'eseguibile OpenSSL.
Leggi altre domande sui tag cryptography openssl heartbleed