web-dev-qa-db-fra.com

TLS 1.0 Vulnérabilité d'injection JavaScript (Bête): Que faire du côté client?

Avec les vulnérabilités SSL/TLS présumées utilisées par le Beast Exploit , il semble y avoir un déficit de sécurité entre les versions TLS; TLS 1.0 étant la problématique mais toujours la seule option pour de nombreux sites.

En effet, il y a un problème avec les versions TLS plus anciennes, quelles mesures devrions-nous prendre, à la fin de l'utilisateur, afin d'éviter des attaques éventuelles? Je pense qu'un plugin de navigateur pour signaler la version TLS et permettre aux connexions uniquement lorsque des versions plus sûres sont utilisées seraient très utiles, mais n'ont pas encore été en mesure d'en trouver un.

Toute autre suggestion, conseils pratiques, etc.?

15
George

Jusqu'à ce que le trou de sécurité soit fermé les deux extrémités (serveur Web et logiciel de navigateur), il sera difficile de prévenir. Malheureusement, parce que l'exploit actuel cible les cookies, vous avez un contrôle minimal sur le côté client informatique. La seule exception consiste à modifier vos chiffres de cryptage et bloquer ou réorganiser les chiffres de CBC au moins préférables de sorte qu'il a le moins probable à être utilisé pour la communication SSL/TLS.

Voir http://support.microsoft.com/kb/2450 et http://blogs.technet.com/b/steriley/archive/2007/11/06/changing- The-SSL-Cipher-Commerce-in-Internet-Explorer-7-On-Windows-Vista.aspx pour comment faire cela sous Windows.

Je suggérerais que la meilleure chose à faire avant qu'un correctif côté client soit disponible soit l'éducation et la sensibilisation. Y compris:

  • Déconnectez-vous des sites Web lorsqu'il n'est pas utilisé, au lieu de simplement fermer le navigateur.
  • Ne pas enregistrer les informations d'identification de connexion.
  • Découvrez ce que font vos partenaires commerciaux pour mettre en œuvre des contrôles de sécurité plus stricts sur leurs sites Web.

Je suppose qu'il est également important de noter que tous les sites Web n'utilisant pas les versions héritées SSL/TLS sont affectés. Bien que la partie de sécurité des transports (SSL/TLS) soit, il peut y avoir d'autres techniques anti-spoofing en place pour réduire l'impact de la divulgation d'informations.

Restez à l'écoute, soyez prêt à déployer de nouvelles versions de navigateur, et il n'ya aucun doute qu'il y aura plus de nouvelles bientôt, mais j'espère que certains correctifs.

6
Bernie White

de la manière dont cet exploit est censé fonctionner comme mitm à partir de l'intérieur du navigateur Attaque via bloom-Adaptive Chosen-Plaintext Cryptanalyse .....

la solution actuelle et la seule solution (sécurité limitée) que je peux penser (jusqu'à ce que les navigateurs et les serveurs soient correctifs pour fonctionner avec de nouvelles versions ... allez prendre du temps) est parcourant toutes vos sessions sécurisées d'un Baveur indépendant N'oubliez pas une instance différente mais un navigateur différent) Non utilisé pour votre navigation Web habituelle, même tous les liens de vos mails et tout besoin de être copié et ouvert dans un navigateur différent; Utilisez également des plug-ins de navigateur Adblocker et Noscript.

Cela devrait protéger dans une large mesure. Quoi qu'il en soit, c'est une bonne pratique pour des sessions sécurisées, avec ou sans cet exploit.

http://hackersmag.blogspot.com/2011/09/Beast-Beating-SSL-TLS-Qu-YOU-CAN-DO.html

Pour une meilleure compréhension de la bête, vous pourriez avoir accès au papier SSL pour cela et le Java code à http://www.insecure.cl/beast-ssl. rar

3
AbhishekKr