Domande con tag 'beast'

1
risposta

TLS: RC4 o non RC4?

Stavo leggendo un altro articolo interessante di Matthew Green oggi, dicendo che if you're using RC4 as your primary ciphersuite in SSL/TLS, now would be a great time to stop Per quanto ne so RC4 è stato up 'd sulla lista di ciphersu...
posta 12.03.2013 - 22:45
5
risposte

Come risolvere SSL 2.0 e BEAST su IIS

Come puoi vedere su questo post TeamMentor.net vulnerabile a BEAST e SSL 2.0, ora che cosa? l'app al momento in sviluppo è stata contrassegnata per SSL 2.0 e BEAST by SSL Labs. Sto usando IIS 7.0 con le ultime patch e non riesco a trovare l...
posta 30.04.2012 - 14:14
3
risposte

Perché l'attacco BEAST è stato precedentemente ritenuto non plausibile?

Qualcuno può spiegare perché l'attacco BEAST non è stato considerato plausibile? Ho visto un articolo che citava il creatore dicendo: "Vale la pena notare che la vulnerabilità che BEAST sfrutta è stata presentata sin dalla prima versione di SSL....
posta 16.10.2011 - 09:25
4
risposte

Perché i principali browser non supportano attualmente TLS sopra la versione 1.0?

TLS 1.0 sembra vulnerabile a Bestia , Lucky13 e forse altri attacchi ed è semplicemente obsoleto. Soluzione alternativa comune ad es. da parte di Google era l'uso di RC4, anch'esso recentemente interrotto, ma nessuno dei principali browser semb...
posta 19.03.2013 - 03:03
3
risposte

C'è un modo per mitigare BEAST senza disabilitare completamente AES?

Sembra che il modo più semplice per proteggere gli utenti contro l'attacco BEAST su TLS < = 1.0 sia preferire RC4 o addirittura disabilitare tutte le altre suite di crittografia (CBC) del tutto, ad es. specificando qualcosa come SSLCipherSu...
posta 11.07.2012 - 15:38
1
risposta

Strumenti da testare per BEAST / CRIME che NON SONO basati su Internet?

Abbiamo una crescente pressione per identificare e correggere qualsiasi configurazione del server HTTPS che sia vulnerabile a BEAST (CBC) e CRIME (compressione). Dobbiamo correggere i server accessibili a Internet in generale, i server acces...
posta 19.09.2012 - 16:03
5
risposte

Che cosa posso fare sulla vulnerabilità di TLS 1.0 javascript injection sul mio server?

Il recente articolo pubblicato su slashdot link afferma che le connessioni protette con TLS 1.0 sono suscettibili alla decifrazione man-in-the-middle (l'exploit BEAST). Ho un'app ospitata su Google Appengine, che sembra utilizzare TLS 1.0. Fa...
posta 22.09.2011 - 15:14
2
risposte

AES-GCM è raccomandato per SSL?

Sto cercando di attivare SSL a livello di sito per un sito web che gestisco e mi sto chiedendo quali sono le migliori pratiche per la configurazione SSL. Non sono troppo preoccupato per la compatibilità con i vecchi browser e i dispositivi mobil...
posta 24.01.2013 - 14:17
4
risposte

TLS 1.0 Vulnerabilità di JavaScript injection (BEAST): cosa fare lato client?

Con le presunte vulnerabilità SSL / TLS utilizzate dall'uso BEAST , sembra che essere un divario di sicurezza tra le versioni di TLS; TLS 1.0 è il problema, ma è ancora l'unica opzione per molti siti. Se effettivamente c'è un problema con ve...
posta 23.09.2011 - 14:31
3
risposte

Come testare l'attacco BEAST se il server non è connesso a Internet?

Vorrei testare specificamente un server per le vulnerabilità legate a BEAST. Quali switch della riga di comando dovrei usare? Cosa dovrei vedere (o non vedere) nell'output? Aggiorna L'intento è di eseguire la scansione di un server We...
posta 03.02.2012 - 22:10