那些遇到过的问题

与 BEAST 一起使用的最安全密码?(TLS 1.0 漏洞利用)我读过 RC4 是免疫的

uni*_*n83 7 security ssl exploit tls

现在 BEAST 是公共知识,TLS 1.0 使用起来并不安全(SSL 3.0 也不安全)。我看到有报道称 RC4 密码不受影响(并得到广泛支持)。真的吗?

我知道 TLS 1.1 是免疫的。但在 1,000,000 个最流行的启用 SSL/TLS 的网站中,只有少数 (221) 个支持 TLS 1.1 或更高版本。

该漏洞利用仅限于浏览器,因为它需要通过 MITM 使用 JavaScript 或浏览器插件。在撰写本文时,PayPal.com 易受攻击。

Sha*_*den 5

正确的; RC4 是一种流密码,不受影响。

缺陷在于 CBC 消息构造,因此使用 CBC 的密码(有很多,但 AES 和 3DES 是最受欢迎的)都受到影响。

归档时间:

查看次数:

3078 次

最近记录:

14 年,1 月 前
相关归档
如何保护开放的 PostgreSQL 端口 33
IIS 中的 IUSR 和 IWAM 帐户是什么? 23
/etc/shells 中的 nologin 是危险的.. 为什么? 22
为什么 Web 服务器的公钥证书必须由证书颁发机构签名? 9
为什么Django的开发服务器默认使用8000端口? 9
“颁发的证书尚未生效。” 用wget? 6
多个 SSL 证书以访问 IIS 中的一个 ASP.NET 应用程序 5
无法获取 cURL 或 wget 来验证某些 SSL 证书 4
轻量级、简单的 HTTP 中间人保护? 1
通配符 SSL 多服务器 0
难疑归档
如何获取 Amazon S3 存储桶的大小? 362
如何在不重新启动的情况下添加 Windows 环境变量? 201
SSH 只使用我的密码,忽略我的 ssh 密钥,不要提示我输入密码 174
系统管理员职位的乔尔测试 142
robocopy 传输文件而不是文件夹 117
什么是“任播”,它有什么帮助? 89
SSH 允许一个用户使用密码,仅允许使用公钥 69
终止公司 IT 管理员关系 60
如何防止“ps”报告自己的进程? 56
系统管理员应该阅读哪些网站? 54