Domande con tag 'beast'

domande con tag
2
risposte

BEAST è davvero corretto in tutti i browser moderni?

BEAST si dice che sia corretto in tutti i browser moderni: Chrome e Firefox IE nel gennaio 2012 Opera nel dicembre 2011. È anche fissato in OpenSSL dal 2002. Queste correzioni significano che è sicuro utilizzare le crittogr...
posta 11.08.2012 - 00:43
3
risposte

Il contenuto gzipping è consentito tramite TLS?

Quindi ho queste poche direttive di compressione a livello http in nginx: gzip on; gzip_http_version 1.1; gzip_vary on; Ho letto che questo dovrebbe essere evitato a causa di un attacco CRIME / BREACH, è corretto?     
posta 06.10.2015 - 13:03
2
risposte

Configura SSL per preferire cifrari RC4 su cifrari basati su blocchi - BEAST

I nostri scanner PCI ci hanno appena informato che abbiamo una vulnerabilità BEAST (Browser Exploit Against SSL / TLS) Apparentemente, la riparazione è la seguente: Affected users should disable all block-based cipher suites in the ser...
posta 01.12.2012 - 23:21
1
risposta

Qualsiasi browser non totalmente insicuro vulnerabile a BEAST?

Le persone si preoccupano ancora molto di BEAST quando configurano i server Web al punto di preferire RC4 su AES-CBC. Ma la maggior parte dei browser mitiga BEAST anche durante l'utilizzo di TLS 1.0. C'è un browser che: È vulnerabile a B...
posta 10.09.2013 - 18:42
1
risposta

IIS 6.0 - mitigante BESTIA

Recentemente, il mio valutatore PCI mi ha informato che i miei server sono vulnerabili a BEAST e mi hanno fallito. Ho fatto i miei compiti e voglio cambiare i nostri server web per preferire i cifrari RC4 su CBC. Ho seguito ogni guida che ho tro...
posta 07.12.2012 - 17:27
2
risposte

La prossima patch Microsoft Tuesday include la correzione SSL BEAST

link Ho pensato che la vulnerabilità che BEAST utilizza fosse già fissata sul lato "Microsoft", no? Qualcuno può chiarire questo ?: link The TLS support for browsers right now is: IE9 TLS 1.0, 1.1, 1.2 all supported via Sc...
posta 08.01.2012 - 07:38
1
risposta

Previene attacco BEAST senza suite di crittografia RC4

È prassi comune impedire l'attacco BEAST utilizzando i seguenti codici nella configurazione di Apache SSL: SSLCipherSuite RC4-SHA:HIGH:!ADH Sfortunatamente, RC4 è stato trovato difettoso e ora si raccomanda di evitare il suo utilizzo. Da...
posta 31.10.2014 - 06:53
3
risposte

BEAST: IIS6: Scansione PCI fallita: questi codici sono OK?

Il nostro scanner di conformità PCI, TrustWave, ha fallito il nostro sito Win 2003 / IIS6 su BEAST a causa dei seguenti cyphers: Cipher Suite: SSLv3 : DES-CBC3-SHA Cipher Suite: SSLv3 : RC4-SHA Cipher Suite: SSLv3 : RC4-MD5 Cipher Suite: T...
posta 14.12.2012 - 17:50
5
risposte

Devo ignorare l'exploit SSL BEAST e continuare a preferire AES?

A causa dell'exploit di BEAST sembra che tutti stiano dicendo che dovresti smettere di usare AES e usare invece RC4. Mi chiedo se non sarebbe meglio continuare a utilizzare AES invece per i seguenti motivi: Per sfruttare BEAST, l'utente m...
posta 29.09.2011 - 16:54
2
risposte

BEAST mitigation su un servizio di bilanciamento del carico Cisco ACE 4710

Stiamo cercando di mitigare BEAST (e simili) sul nostro appliance Cisco ACE (versione A4 (2.0)), che è l'endpoint per una manciata di servizi bilanciati. Alcuni di questi servizi funzionano ancora con certificati firmati SHA1 (sebbene stiamo lav...
posta 11.04.2013 - 12:50