Domande con tag 'beast'

2
risposte

Violazione SSL: la più recente vulnerabilità BEAST significa che gli Issuer SSL ora devono preoccuparsi dell'integrità? [chiuso]

Anche se molti certificati SSL hanno vantato garanzie stravaganti - in genere circa $ 10k minimo a $ 250k per violazione - per garantire che i loro certificati siano validi, fino ad oggi, ho sentito che non c'è mai stato un singolo pagamento dov...
posta 22.09.2011 - 20:02
1
risposta

RC4-MD5 vs DES-CBC3-SHA [chiuso]

Siamo passati a RC4-MD5 come mitigazione dell'attacco BEAST. Ma i nostri altri team stanno dicendo di usare DES-CBC3-SHA Voglio sapere se DES-CBC3-SHA è anche sicuro e mitiga anche BEAST? Inoltre, la conformità del browser è diversa per qu...
posta 06.05.2014 - 02:42
2
risposte

Disabilitando TLS 1.0, abilitando RC4 o utilizzando TLS1.0 solo con AES, gli unici modi per attenuare il lato BEAST sul lato server?

Comprendo che BEAST è molto difficile da sfruttare e in gran parte risolto dai browser moderni. Inoltre, l'abilitazione di RC4 introdurrà altri rischi. Quindi, se vuoi ancora mitigare l'attacco BEAST sfruttabile quasi impossibile, solo dal la...
posta 16.03.2017 - 22:50
2
risposte

Rotture dei client dopo aver evitato RC4-MD5

Come per link , ci è stato consigliato di smettere di usare RC4- MD5. I client supportati dalla nostra applicazione sono IE 8 e versioni successive, Safari 5 e versioni successive, Chrome 18 e versioni successive, FF 12 e versioni successive...
posta 15.10.2013 - 20:18
0
risposte

Come spiegare l'attacco BEAST alle persone non tecnologiche

Sto cercando il modo migliore per descrivere il B file E xploit A gainst S SL / T LS (BEAST) attacco a persone non tecniche, senza essere troppo generico. Quindi non sto cercando: "hai mai notato il blocco nella tua navigazione assi...
posta 27.08.2015 - 13:52
3
risposte

Calcoli SSL temprati per Nginx come origine personalizzata AWS / Cloudfront

Sulla base di raccomandazioni , abbiamo recentemente tentato di rafforzare la nostra configurazione Nginx SSL contro Attacchi BEAST / CRIME / BREACH con la seguente stanza: ssl_prefer_server_ciphers on; ssl_ciphers ECDHE-RSA-AES256-GCM-SHA384...
posta 14.08.2013 - 19:50
1
risposta

attacco BEAST su TSL1.2?

Ho capito che BEAST funziona solo su TLS1.0 e mi sono confuso quando ho visto una dimostrazione di attacco BEAST su paypal.com, localmente: link Paypal utilizza TLS1.2, quindi non sono sicuro di come l'attacco potrebbe rivelare il messagg...
posta 28.09.2016 - 17:19
1
risposta

Attacco bestia e test SSL Qualys

Se un server supporta | SSLv3: No supported ciphers found | TLSv1.0: | ciphers: | TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA - strong | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA - strong | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA - str...
posta 26.06.2015 - 23:24
3
risposte

Il contenuto gzipping è consentito tramite TLS?

Quindi ho queste poche direttive di compressione a livello http in nginx: gzip on; gzip_http_version 1.1; gzip_vary on; Ho letto che questo dovrebbe essere evitato a causa di un attacco CRIME / BREACH, è corretto?     
posta 06.10.2015 - 13:03