Comprendo che BEAST è molto difficile da sfruttare e in gran parte risolto dai browser moderni.
Inoltre, l'abilitazione di RC4 introdurrà altri rischi. Quindi, se vuoi ancora mitigare l'attacco BEAST sfruttabile quasi impossibile, solo dal lato server! L'unico modo per smettere di supportare TLS 1.0? Oppure usare TLS 1.0 solo su AES, correggerlo anche tu?
In entrambe le soluzioni, che causerebbe la più piccola riduzione della compatibilità del browser mitigando il lato server di BEAST.
Sì. Diversi anni fa, Qualys riguardava le tecniche di mitigazione , e in particolare, molti metodi che potreste pensare funzionerebbero (come "abilitare la tecnica del frammento vuoto sul lato server") sono inefficaci perché l'attacco è lato client.
Tuttavia, TLS 1.1+ è molto più comune in questi giorni . Inoltre, la maggior parte dei client ha aggiunto la mitigazione anni fa ( anche Apple , che è stato lento su il prendere). Tra questi due fattori, BEAST non è più un problema.
La maggior parte delle volte disabilitare i cifrari deboli può risolvere il problema.
Se stai usando openssl: openssl ciphers -v 'ECDH + AESGCM: DH + AESGCM: ECDH + AES256: DH + AES256: ECDH + AES128: DH + AES: RSA + AESGCM: RSA + AES:! aNULL:! MD5:! DSS' abiliterà cifratura sicura suite per te.
Puoi trovare i dettagli sotto il link che ho trovato durante la ricerca. link
Leggi altre domande sui tag cryptography openssl tls aes beast