标题最能概括我的问题。
我正在尝试使我的 ubuntu 10.0.4 服务器符合 PCI 标准,为此,列表中的最后一项是确保它不易受到 BEAST 攻击。为此,我可以禁用 SSL_OP_DONT_INSERT_EMPTY_FRAGMENTS,但根据以下链接:
http://people.canonical.com/~ubuntu-security/cve/2011/CVE-2011-3389.html
这会破坏与某些 SSL 实现的兼容性,但实际上却不会提供太多的安全益处,因为 BEAST 攻击不切实际,而且现代浏览器不允许运行任意代码。
最终目标如下:符合 PCI 标准,但没有不切实际的解决方案(例如,我不愿意禁用 TLS 1.0)。
编辑:将次要问题移至单独问题: 在哪里可以找到设置 SSL_OP_DONT_INSERT_EMPTY_FRAGMENTS 的文件
答案1
如果你的目标是符合 PCI 规定,又不给自己带来麻烦阻止 BEAST 攻击。
认真地说,每个现代浏览器都已经绕过了 BEAST年现在。要么在您的政策文档中将其声明为非问题,要么如果您的审计员是白痴,则采取这样的立场:如果有人使用易受 BEAST 攻击的浏览器,您将直接拒绝他们访问您的网站并指示他们升级其糟糕、过时、不安全的浏览器(并让您的应用程序团队通过浏览器检测来实现这一点)。
除了“Screw the BEAST”之外,下一个最佳缓解措施是禁用 TLS/1.0 - 并要求所有客户端使用 TLS/1.1 或更高版本。(这实际上是“Screw the BEAST”的变体,通过完全拒绝与任何糟糕到容易受到攻击的浏览器对话来强制执行)。
破坏安全性差的人的兼容性是仅有的让他们升级的方法。
如果你仍然不想这样做,你可以缓解这个问题禁用易受 BEAST 攻击的密码,但这样做其他(令人讨厌的)安全隐患PCI 的目光短浅,却不关心这一点。
你将关闭一个“安全漏洞”(空中引号,因为它被很好地解决了),从而打开一个安全漏洞(如果没有 BEAST 良好的补偿控制,恶意攻击者可能会在现实世界中破坏您的网站)。