Domande con tag 'openssl'

domande con tag
5
risposte

Cosa dovrebbe fare un operatore di un sito web per l'exploit di Heartbleed OpenSSL?

CVE-2014-0160 link Questa dovrebbe essere una domanda canonica su come gestire l'exploit di Heartbeat. Eseguo un server Web Apache con OpenSSL e alcune altre utilità basate su OpenSSL (come client). Cosa dovrei fare per attenuare i...
posta 08.04.2014 - 05:10
2
risposte

Diverse prestazioni di velocità openssl sullo stesso hardware con AES 256 (EVP e API non EVP)

Se eseguo openssl 1.0.1e in questo modo: $ ./openssl speed aes-256-cbc (i.e without EVP API) Doing aes-256 cbc for 3s on 16 size blocks: 14388425 aes-256 cbc's in 3.00s Doing aes-256 cbc for 3s on 64 size blocks: 3861764 aes-256 cbc's in 2.99s...
posta 29.04.2013 - 15:19
2
risposte

Qual è la differenza tra Diffie Hellman generator 2 e 5?

La generazione dei parametri di Diffie Hellman in OpenSSL può essere eseguita come segue: $ openssl dhparam -out dh2048.pem 2048 Generating DH parameters, 2048 bit long safe prime, generator 2 This is going to take a long time [...] Il "ge...
posta 28.03.2014 - 14:17
5
risposte

E 'possibile "leggere" i messaggi sicuri (usando SSL o TLS) se si conosce il messaggio?

Se comunico tramite una linea protetta (protetta tramite SSL o TLS) e invio al server un messaggio. Qualcuno potrebbe intercettare quello che era quel messaggio se sapesse in anticipo una lista di messaggi che probabilmente invierò. es. In...
posta 22.04.2015 - 13:07
1
risposta

Quali sono i principali vantaggi dell'utilizzo di LibreSSL in favore di OpenSSL

Quali sono i principali vantaggi dell'utilizzo di LibreSSL rispetto a OpenSSL ? Come ho capito LibreSSL è un fork di OpenSSL: LibreSSL is a version of the TLS/crypto stack forked from OpenSSL in 2014, with goals of modernizing the cod...
posta 02.02.2016 - 17:59
2
risposte

Effetto sulla conformità PCI del non controllo del certificato SSL?

Stati PCI DSS: "[Devi ...] verificare che siano accettate solo chiavi / certificati SSL / TLS affidabili." Per farla breve, il nostro fornitore di servizi di pagamento ci ha appena chiesto di smettere di verificare il certificato dopo av...
posta 01.10.2014 - 20:23
2
risposte

È possibile utilizzare Heartbleed per ottenere memoria da altri processi?

In base al link , i contenuti della memoria possono essere trapelati dal server al client e viceversa. Supponiamo che io abbia effettuato il banking in un profilo browser separato (ma con lo stesso utente). Se un altro profilo del browser è...
posta 08.04.2014 - 10:32
5
risposte

Creazione della mia CA per una intranet

Ho bisogno di creare la mia CA per una intranet e sfortunatamente sembra che non ci sia una buona risposta a riguardo su Security.SE. Ci sono molte risorse online su questo, ma tutte sono diverse e alcune usano valori predefiniti obsoleti (MD...
posta 15.05.2015 - 16:03
2
risposte

A che serve la password di sfida in build-key-server e build-key di Easy-RSA?

Tutti i tutorial OpenVPN / Easy-RSA che ho trovato, consigliano di impostare un vuoto sfida la password durante la creazione della chiave per il server OpenVPN. Qualcuno sa perché? A cosa serve la challenge password nelle chiavi del s...
posta 29.12.2014 - 11:29
5
risposte

Il bug Heartbleed è stato prevenuto se OpenSSL è stato scritto in Go / D / Vala?

La vulnerabilità Heartbleed si verifica a causa di un bug nel codice sorgente C di OpenSSL, eseguendo un memcpy() da un buffer che è troppo corto. Mi chiedo se il bug sarebbe stato automaticamente impedito in altri linguaggi con sistemi...
posta 08.04.2014 - 21:27