La disabilitazione della ripresa / rinegoziazione attenuerebbe il problema del triplo handshake?

Naviga le tue risposte
1

Il problema Triple Handshake è stato divulgato di recente. Per quanto ho capito, dipende molto dalla rinegoziazione e ripresa.

Quindi la semplice domanda è: la disabilitazione della ripresa e / o della rinegoziazione potrebbe attenuare questo problema?

In ulteriori dettagli:

La rinegoziazione sembra essere abbastanza sicura, e c'è un solo problema a presentare nuovi certificati. Gli autori raccomandano vivamente di controllare attentamente il certificato appena presentato. Quindi risolvere questo permetterebbe di mantenere la rinegoziazione.

La ripresa sembra essere piuttosto insicura. Quindi, finché non viene distribuita una soluzione a lungo termine, sembra meglio disabilitarla completamente. È corretto?

Sono consapevole che la disattivazione della ripresa avrà un impatto sulle prestazioni. Per i miei attuali scenari questo non è rilevante (sessioni TLS a lunga vita). Se qualcuno vuole ancora approfondire i dettagli, non esitare.

    
posta Elrond 13.03.2014 - 12:35
fonte

2 risposte

1

Se non vi è alcuna ripresa, è chiaro che questo attacco non può esistere, tuttavia la ripresa è una funzione molto importante e attraente di TLS poiché può ridurre efficacemente la latenza. Pertanto, TLS 1.3 potrebbe non supportare più la rinegoziazione piuttosto che la ripresa.

    
risposta data 09.06.2015 - 03:34
fonte
1

Da quanto ho capito, il punto principale dell'attacco è che la parte del browser responsabile della verifica della Stessa politica di origine pensa di essere collegata all'host A, mentre la parte responsabile dell'invio del certificato client appropriato pensa che sia connessa a host B perché ha ottenuto il certificato per questo host nella rinegoziazione. In questo modo il browser lascerà che lo script ecc dall'host A acceda ai dati autorizzati dall'host B, perché pensa che provengano da A.

Se disabiliti la rinegoziazione questo attacco non dovrebbe funzionare più, anche se la ripresa della sessione è ancora abilitata. Ma, se hai davvero bisogno di rinegoziazione, dovresti disabilitare la ripresa della sessione in modo che l'attacco non funzioni.

    
risposta data 13.03.2014 - 22:22
fonte

Leggi altre domande sui tag

Script firmati digitalmente come metodo per contrastare XSS Richieste http sospette nei miei registri: * .html / RS = ^