启用还是禁用 SSL_OP_DONT_INSERT_EMPTY_FRAGMENTS 更好？

Question

如果你的目标是符合 PCI 规定，又不给自己带来麻烦阻止 BEAST 攻击。

认真地说，每个现代浏览器都已经绕过了 BEAST年现在。要么在您的政策文档中将其声明为非问题，要么如果您的审计员是白痴，则采取这样的立场：如果有人使用易受 BEAST 攻击的浏览器，您将直接拒绝他们访问您的网站并指示他们升级其糟糕、过时、不安全的浏览器（并让您的应用程序团队通过浏览器检测来实现这一点）。

除了“Screw the BEAST”之外，下一个最佳缓解措施是禁用 TLS/1.0 - 并要求所有客户端使用 TLS/1.1 或更高版本。（这实际上是“Screw the BEAST”的变体，通过完全拒绝与任何糟糕到容易受到攻击的浏览器对话来强制执行）。
破坏安全性差的人的兼容性是仅有的让他们升级的方法。

如果你仍然不想这样做，你可以缓解这个问题禁用易受 BEAST 攻击的密码，但这样做其他（令人讨厌的）安全隐患PCI 的目光短浅，却不关心这一点。
你将关闭一个“安全漏洞”（空中引号，因为它被很好地解决了），从而打开一个安全漏洞（如果没有 BEAST 良好的补偿控制，恶意攻击者可能会在现实世界中破坏您的网站）。

Answer 1

如果你的目标是符合 PCI 规定，又不给自己带来麻烦阻止 BEAST 攻击。

认真地说，每个现代浏览器都已经绕过了 BEAST年现在。要么在您的政策文档中将其声明为非问题，要么如果您的审计员是白痴，则采取这样的立场：如果有人使用易受 BEAST 攻击的浏览器，您将直接拒绝他们访问您的网站并指示他们升级其糟糕、过时、不安全的浏览器（并让您的应用程序团队通过浏览器检测来实现这一点）。

除了“Screw the BEAST”之外，下一个最佳缓解措施是禁用 TLS/1.0 - 并要求所有客户端使用 TLS/1.1 或更高版本。（这实际上是“Screw the BEAST”的变体，通过完全拒绝与任何糟糕到容易受到攻击的浏览器对话来强制执行）。
破坏安全性差的人的兼容性是仅有的让他们升级的方法。

如果你仍然不想这样做，你可以缓解这个问题禁用易受 BEAST 攻击的密码，但这样做其他（令人讨厌的）安全隐患PCI 的目光短浅，却不关心这一点。
你将关闭一个“安全漏洞”（空中引号，因为它被很好地解决了），从而打开一个安全漏洞（如果没有 BEAST 良好的补偿控制，恶意攻击者可能会在现实世界中破坏您的网站）。

启用还是禁用 SSL_OP_DONT_INSERT_EMPTY_FRAGMENTS 更好？

答案1

相关内容