Crypto.js è vulnerabile agli attacchi di cuore? [duplicare]

6

Utilizziamo "crypto.js" nella nostra applicazione.

Dato che "crypto.js" utilizza SSL aperto, siamo vulnerabili all'attacco di heartbleeding?

Se sì, cosa possiamo fare per impedirlo?

    
posta user44548 14.04.2014 - 12:55
fonte

2 risposte

5

Crypto.js non usa OpenSSL, è interoperabile con alcuni degli stessi algoritmi e non è vulnerabile a Heartbleed. Tanto più che solitamente usi crypto.js sul client , non sul server OpenSSLified.

    
risposta data 14.04.2014 - 13:08
fonte
1

Se sfoglia la fonte Crypto.js , non implementa TLS (o SSL) e come tale non può implementare l'estensione TLB Heartbeats. Non implementando TLS o Heartbeat, non può avere la vulnerabilità Heartbeat sfruttata da Heartbleed (fidandosi della lunghezza del payload in una richiesta HB anche se è più lunga del messaggio originale e riecheggia tanti dati).

Sì, ci sono un paio di riferimenti a OpenSSL in cryptoJS (tutti all'interno di cipher-core.js , ma questi sono semplicemente in risposta all'utilizzo di un formato di chiave OpenSSL (ad esempio, il suo codice in codice definito all'interno di cryptoJS con CryptoJS.format.OpenSSL ) o utilizzando una chiave OpenSSL- derivation-function ( OpenSSLKdf = C_kdf.OpenSSL ). Nota, cryptojs non si collega alla libreria OpenSSL o chiama l'eseguibile OpenSSL.

    
risposta data 14.04.2014 - 19:46
fonte

Leggi altre domande sui tag