轉自:http://butian.org/server/2543.html
SSLv3和TLS V1存在一個嚴重的漏洞,根據最近發表的的***機制(被稱爲BEAST)。
當我們知道這個漏洞的名字肯定會有問題
1、這個漏洞會影響什麼
2、漏洞的嚴重程度是什麼
3、我能做些什麼來保護自己呢?
4、BEAST怎樣***?
BEAST漏洞會影響什麼?
這些網站上在一定的條件下會影響網站瀏覽者的安全,竊聽者可獲得完全訪問您的帳戶。
它並不影響以下:
1、其他安全的服務,如使用SSL或TLS的電子郵件(IMAP,POP,SMTP)
2、發佈的數據使用SSL保護的Web網站連接(即從安全Web形式發佈數據)
它影響:
登錄安全網站的帳號,如PayPal,Gmail,Facebook等
我的網站瀏覽時可能會受到影響嗎?
如果您使用的是有人惡意可以查看所有正常的流量網絡上的一個網絡,並且他們還可以攔截和修改,那麼他們可以嘗試危及安全的網站瀏覽。
請注意,這並不包括壞人用相同的WiFi網絡和ISP的你,能竊聽不安全的連接 – SSL仍然是一個有效的防禦。它包括的情況下,例如:
1、您本地網絡負責人是惡意的。
2、惡意的人闖入你的本地網絡,並獲得了其服務器的控制
3、你是在一個國家,它的流入和流出的所有網絡通信進行監控。
使用的是“信任”的網絡可不必過於擔心。
我們的意思是
1、您當地的ISP(如AOL,Comcast公司,Verizon等)的管理員通常是可信的。在很大的程度上我們已經相信他們 – 如果他們想他們可能會危及我們的系統更容易使用該TLS***(即設計***或病毒,和推行這些到我們的系統)
2、你的學校或工作網絡的IT人員通常是可信的。(當然,人們在工作中已經“擁有”你做的一切,在他們的網絡。)而且,ISP操作人員等,這些網絡管理員可以做很多更糟糕的事情比這TLS***更容易,如果他們想。
3、政府 – 你相信這些不強迫互聯網服務供應商竊聽你嗎?即使他們這樣做,取決於政府參與的情況,大多數人都會有一點擔心。
這種***是一個問題的組織,要以竊聽你的通訊和訪問您的帳戶沒有您的認識和他們要麼
(一)已經知道哪些網站頻繁
(二)有足夠人的網絡流量,他們只是嘗試危及對非常熱鬧的地方,如Gmail,PayPal,或者某些銀行的帳戶。
你看,有一個顯着的潛在威脅,這取決於你在哪裏,你在做什麼。
在什麼情況下我會受到影響?
簡單地說,如果有一個對你的***,你可能會受到損害,如果:
1、您載入任何不安全的網頁(即網頁地址以http://而不是https://),並啓用JavaScript在瀏覽器中。
2、您在互聯網上使用同一個瀏覽器保持瀏覽長達10分鐘
3、你訪問這個安全的網站其中***者希望能夠獲取你訪問的數據。
需要注意的是***者需要提前10分鐘猜測或知道你要訪問有關安全的網站。
作爲一個例子,讓我們假設***者正試圖竊聽每個人的Gmail帳戶訪問,以獲得用戶名,密碼和其他敏感數據。
1、當您訪問不安全的網頁(如http://google.com)
2、收集和處理數據訪問https://gmail.com的數據
3、你上了一段時間網
4、您訪問https://gmail.com檢查你的電子郵件
5、***者可以使用收集到的信息訪問您的Gmail帳戶如同您在登錄。
我怎樣才能保護自己?
如果您擔心這種***,你可以保護自己,從它:
1、關閉您的瀏覽器(所有打開的窗口)
2、打開瀏覽器,直接進入所需的安全網站沒有連接到任何不安全的網站。
這工作,因爲需要在同一個瀏覽器會話的***使用了一段時間。關閉並重新打開瀏覽器,***者通過否定了任何準備工作。從一個安全(https://)網頁瀏覽會話,防止***者甚至開始。
您可以毫不費力地做到這一點:
1、讓你的“主頁”(打開的頁面中,當你開始你的網絡瀏覽器)的安全頁面。即https://google.com。然後你就可以使用瀏覽器的書籤到您最喜愛的安全網站,從您最初的安全頁面導航到這些。
2、把經常訪問安全的網站在您的桌面上,所以當你點擊它們時,您的瀏覽器打開書籤和您直接轉到這個安全的頁面。
3、在瀏覽器中禁用JavaScript。另外,您的瀏覽器配置爲只允許與特定的受信任的安全站點使用JavaScript。
4、使用***(虛擬專用網)。如果您的計算機連接到網絡,你做信任(如工作),發送您的所有安全和不安全的網絡的***連接,繞過懷有惡意的人查看或干擾您的網頁瀏覽本地網絡中的任何能力。
另外,如果你的***者不知道你的瀏覽習慣,那麼他們是不會危及您的安全的。
BEAST怎樣***?
1、當您訪問不安全的網頁,***者改變了返回的頁面,或返回的JavaScript添加的內容,您下載的惡意JavaScript。
2、這種惡意的JavaScript會自動運行在你的網頁瀏覽器(如果你有使用啓用JavaScript)
3、打開JavaScript的一個安全連接(例如)https://gmail.com“
4、***者比較在您的瀏覽器和https://gmail.com的之間的加密流量與已知的已發送的數據通過JavaScript。使用計算機處理能力的幾分鐘,***者可以找出一些所謂的“初始化向量”安全會話。
5、這一信息使他們能夠進入未來的安全的身份驗證cookie發送到相同的網站在同一個瀏覽器會話。
6、這些cookie可以“重放”***者完全訪問您的帳戶如同如果他們已經登錄,可以看到,你有任何敏感數據和執行你的行動給他們。
重要的是要注意:
1、這種***需要JavaScript的網頁瀏覽器來工作。
2、它需要一個不安全的網絡連接,併爲***者可以修改的內容返回給你。
3、***者必須猜測您將瀏覽哪些安全的網站
4、***者必須有時間來收集和分析數據。
5、然後您必須連接並登錄到相同的網站在同一個瀏覽器會話(即不關閉並重新打開瀏覽器,或使用不同的瀏覽器)。
6、***者必須使用該網站,而你的登錄會話處於活動狀態(如果你顯式註銷,通常會同時註銷***,讓希望你,***者並沒有改變你的密碼!)。
另外:
1、這種***會影響SS v3和以後的版本,TLS1.0
2、它並不影響網站用TLSV1.1或TLSV1.2進行加密
那麼,我可以只使用“TLS V1.1”或“TLS1.2版”嗎?
答案是“是的,是這樣的”。
1、 只有Internet Explorer和Opera網絡瀏覽器,支持TLS v1.1和更高版本。所有其他Web瀏覽器(即谷歌Chrome,火狐,Safari瀏覽器,也可能是最並非所有的移動瀏覽器)不支持這些新的安全協議。 此外,即使Internet Explorer不支持這些,他們一般都是默認情況下禁用
大
多數Web服務器不支持TLS1.1或TLS1.2版還,所以即使您的瀏覽器支持它,你的目標的安全站點可能不 –
,即bankofamerica.com不,mail.google.com不,根據Opera只有0.25%的Web服務器支持TLS
v1.1或更高的 – 這不是25%,是一季度的百分之一!
爲什麼大多數服務器不支持TLS V1.1+?
1、產品質量的標準SSL的軟件庫,如爲“OpenSSL”,還不包括TLS1.1支持,所以大多數網站無法啓用它。雖然最新的發展OpenSSL的版本支持TLS1.1,這顯然尚未包含在標準的操作系統安裝的發行
2、尚未十分需要TLS1.1版與1.2版本到現在爲止。
LuxSci正在與各個廠商(如RedHat),也許TLS1.1支持將被納入現有的發行版,使每個人都依賴於這些可以輕鬆地升級。
替
代品 – 使用一些其他的SSL系統,或者使用一個很新的openssl的發行版一直沒有得到很好的情況下人們的服務器審查 –
都相當不好的,因爲他們將需要許多更新,很多大量的測試,可能有一些停機時間安裝和推動整個組織使用替代軟件,也意味着需要手動或通過一些新的將要實施的
更新機制來管理任何未來的OpenSSL的安全更新。
儘管這樣,目前正在調查TLS1.1支持安全的Web服務器,因爲它是做正確的事,而且越快越好。
關於網絡瀏覽器的更新?
瀏覽器製造商目前正在調查這個問題。我們所期望的這些發出一些瀏覽器軟件的更新,在一定程度上減輕這種***Web服務器,而無需升級到TLS1.1。雖然Web服務器升級,當然,需要從長遠來看,他們肯定不會很快出現。
微軟認爲這個問題的威脅程度相對較低;Firefox是希望儘快制定的“修復”;其他TLS專家在目前並不過分擔心。
額外信息
人們應該總是關注安全和了解不斷變化的場景。我們認爲超出了需要升級來實現的軟件修復,考慮以下幾點:
1、實際上,我們儘可能應該使用SSL和TLS。不安全的網站使我們的瀏覽器和計算機處於危險之中,因爲我們沒有哪些惡意的第三方注入到我們的瀏覽會話的控制。 SSL與TLS保護我們免受這種威脅。
2、當打算瀏覽安全的網站,它最好是先在一個新的瀏覽會話,只訪問其他安全(https://)的網站。
3、很容易通過書籤訪問安全站點和其他安全網站
4、使用一個單獨的Web瀏覽器進行正常不安全的瀏覽和訪問安全的網站。
5、保持最新的軟件,網頁瀏覽器,操作系統,防病毒,和其他組件。
如果/當瀏覽器製造商推出修復了這個問題,“威脅水平”,將顯著下降
然而類似的***,劫持不安全的連接,由於種種原因,很可能是在未來還會繼續出現。這將是一個良好的習慣,爲您的安全和不安全的瀏覽如上所述,使用單獨的瀏覽器。
主動的安全習慣是一件好事。
ps:檢測地址https://www.ssllabs.com/ssltest/analyze.html?d=域名&source=tim
翻
譯的很爛大家湊合看。英文好的童鞋可以去http://luxsci.com/blog/is-ssltls-really-broken-by-
the-beast-attack-what-is-the-real-story-what-should-i-do.html
OpenSSL 1.0.1版,它支持TLS v1.1和v1.2,這有助於減少這種***。現在所有網站應該使用更新的openssl更安全。 建議使用一個支持TLS v1.1和v1.2的ssl