Disabilitando TLS 1.0, abilitando RC4 o utilizzando TLS1.0 solo con AES, gli unici modi per attenuare il lato BEAST sul lato server?

1

Comprendo che BEAST è molto difficile da sfruttare e in gran parte risolto dai browser moderni.

Inoltre, l'abilitazione di RC4 introdurrà altri rischi. Quindi, se vuoi ancora mitigare l'attacco BEAST sfruttabile quasi impossibile, solo dal lato server! L'unico modo per smettere di supportare TLS 1.0? Oppure usare TLS 1.0 solo su AES, correggerlo anche tu?

In entrambe le soluzioni, che causerebbe la più piccola riduzione della compatibilità del browser mitigando il lato server di BEAST.

    
posta Bob Ortiz 16.03.2017 - 22:50
fonte

2 risposte

1

Sì. Diversi anni fa, Qualys riguardava le tecniche di mitigazione , e in particolare, molti metodi che potreste pensare funzionerebbero (come "abilitare la tecnica del frammento vuoto sul lato server") sono inefficaci perché l'attacco è lato client.

Tuttavia, TLS 1.1+ è molto più comune in questi giorni . Inoltre, la maggior parte dei client ha aggiunto la mitigazione anni fa ( anche Apple , che è stato lento su il prendere). Tra questi due fattori, BEAST non è più un problema.

    
risposta data 17.03.2017 - 04:20
fonte
0

La maggior parte delle volte disabilitare i cifrari deboli può risolvere il problema.

Se stai usando openssl: openssl ciphers -v 'ECDH + AESGCM: DH + AESGCM: ECDH + AES256: DH + AES256: ECDH + AES128: DH + AES: RSA + AESGCM: RSA + AES:! aNULL:! MD5:! DSS' abiliterà cifratura sicura suite per te.

Puoi trovare i dettagli sotto il link che ho trovato durante la ricerca. link

    
risposta data 17.03.2017 - 13:26
fonte

Leggi altre domande sui tag