有没有解决 SSL 重新协商攻击的方法?

有没有解决 SSL 重新协商攻击的方法?

我读到理论SSL 的弱点已被证明是真实的。我们作为用户或管理员可以采取什么解决方法来保护我们的用户/我们自己?

答案1

该漏洞只允许注入数据,如果注入会导致某种数据泄露,那么您将需要重新设计服务器端程序以确保注入的数据不会导致敏感信息的泄露。

也就是说,用户的会话在出站端(即,从服务器到客户端)仍然是安全的,这些通信仍然是秘密的,来自入站端(客户端到服务器)的通信、来自客户端的数据仍然保持秘密,但是,中间人攻击可能会在数据上附加或添加信息。

因此,除非您的服务器/服务容易受到此类攻击,否则无需采取解决方法,如果是这样,则解决方法将特定于您的 Web 应用程序。

答案2

该攻击表明能够在客户端的受信任凭据下呈现数据,这取决于您的环境和相关最终服务器的用途,可能会导致权限提升等。

风险与你保护的数据和有人窃取数据所花的努力成正比。

实际上,这些文件几乎没有提出任何防御措施。由于问题是来自协议下方(即传输层下方)的攻击,因此使用 IPSEC 可能是一种选择。这在封闭的用户群体中效果最好,因为您可以控制终端机器。IPSEC 不太适合一般不受控制的互联网环境。

马克·萨顿
http://www.blacktipconsulting.com

相关内容