得了出口保安综合症
下调加密
应该是——
昨天的新闻。
首先由《华盛顿邮报》报道,显然你很容易就能让你的怪胎上钩。当你的网站,由你的选择或通过你的网站上的破解,强制降低用户浏览器的加密级别时,就会发生这种情况。除非设置了加密级别,否则用户的浏览器会忠实地降低加密级别永远不要那样做,这种情况很少见。
人中间的谈话,一个中间人,读取下调加密会话然后使用蛮力攻击(这些可以用闪电般的速度),在半天,他们可以有话题添加到数据库被用来对付你,你的用户/客户,或两者兼而有之。
如果是用户对数据库的内部访问,那么您将公开所有内容——包括密码和大多数其他交互。谷歌的Chrome浏览器显然不会受到影响,其他浏览器制造商也在努力修补补丁。这个曝光时间太久了。目前还不知道这些浏览器可能会被攻击多久。你的网站需要测试,看看它是否以某种方式改变,以迫使降级。如果是的话,联系你的法律部门....然后是你的客户,内部或外部的。
这是曾经被称为出口级安全的结果,这让美国和友邦的浏览器处于最高加密级别,但出口加密的能力被降级。许多浏览器尊重降级的加密级别请求,因此会提供您自带的午餐和饮料。意想不到的后果呢?是的。
你必须强制执行这个补丁,尽快。不要延迟。这尤其适用于你的虚拟化资源、VDI、HTML5服务和外部web服务器,以及你域中的每一个用户。我的同情。一次。