Vulnerabilidad de inyección de JavaScript TLS 1.0 (BEAST): ¿qué hacer con el cliente?

15

Con las supuestas vulnerabilidades de SSL / TLS utilizadas por el exploit de BEAST , parece que ser una brecha de seguridad entre las versiones TLS; TLS 1.0 es la problemática, pero sigue siendo la única opción para muchos sitios.

Si de hecho hay un problema con versiones anteriores de TLS, ¿qué medidas debemos tomar, al final del usuario, para prevenir posibles ataques? Creo que un complemento del navegador para informar la versión TLS y permitir conexiones solo cuando se usan versiones más seguras sería muy útil, pero aún no he podido encontrar una.

¿Alguna otra sugerencia, consejos prácticos, etc.?

    
pregunta Georgios 23.09.2011 - 14:31
fuente

4 respuestas

6

Hasta que el agujero de seguridad esté cerrado en ambos extremos (servidor web y software del navegador) será difícil evitarlo. Desafortunadamente, debido a que el exploit actual apunta a las cookies, usted tiene un control mínimo sobre el lado del cliente. La única excepción es cambiar los cifrados de cifrado y bloquear o reordenar los cifrados de CBC al menos preferible para que tenga la menor probabilidad de ser utilizado para la comunicación SSL / TLS.

Consulte enlace y enlace para saber cómo hacer esto en Windows.

Sugeriría que lo mejor que puede hacer antes de que esté disponible una solución del lado del cliente es la educación y la concientización. Incluyendo:

  • Salga de los sitios web cuando no esté en uso, en lugar de simplemente cerrar el navegador.
  • No guardar las credenciales de inicio de sesión.
  • Averigüe qué están haciendo sus socios comerciales para implementar controles de seguridad más estrictos en sus sitios web.

Creo que también es importante tener en cuenta que no todos los sitios web que usan versiones heredadas de SSL / TLS están afectados. Si bien la parte de seguridad de transporte (SSL / TLS) es, puede que existan otras técnicas contra la falsificación para reducir el impacto de la divulgación de información.

Estén atentos, estén listos para desplegar nuevas versiones de navegador y, sin duda, pronto habrá más noticias, pero con suerte algunas correcciones.

    
respondido por el Bernie White 23.09.2011 - 15:32
fuente
3

No puede resolver esto sin la ayuda del proveedor de su navegador. Comuníquese con el proveedor de su navegador para indicar que le gustaría ver soporte para TLS 1.2. (Probablemente ya haya un informe de errores en su rastreador de errores; es probable que solo pueda votar por él y monitorearlo para ver cuándo hay una nueva versión del navegador disponible con soporte para TLS 1.2).

Entonces, espera.

Lo que debe suceder es: (1) los navegadores implementan soporte para TLS 1.2, (2) los sitios web implementan soporte para TLS 1.2. Ambos tomarán tiempo. Además, ha habido un poco de una situación de gallina y huevo, donde los navegadores no dan prioridad a la compatibilidad con TLS 1.2 ya que ningún sitio lo admite, y los sitios no dan prioridad a la compatibilidad con TLS 1.2 ya que los navegadores no lo admiten. / p>     

respondido por el D.W. 23.09.2011 - 15:48
fuente
3

de la forma en que se supone que este exploit funciona como un MitM desde dentro del navegador atacando a través de elegido-plaintext cryptanalysis .....

  

la solución actual y única (seguridad limitada) que se me ocurre (hasta   Navegadores & Los servidores están parcheados para trabajar con versiones más nuevas ...   tómese un tiempo) es explorar todas sus sesiones seguras desde un sitio independiente   navegador (no recuerdes una instancia diferente sino una diferente   navegador) no se utiliza para su navegación web habitual, incluso cualquier enlace en   sus correos y todos deben copiarse y abrirse en un navegador diferente;    también usa AdBlocker & Complementos del navegador NoScript .

Esto debería salvaguardar en gran medida. De todos modos, esta es una buena práctica para sesiones seguras, con o sin este exploit.

enlace

Para una mejor comprensión de BEAST, puede tener acceso al Papel SSL para él y al Código Java en enlace

    
respondido por el AbhishekKr 23.09.2011 - 15:31
fuente
1

Por ahora, Eric Rescorla recomienda desactivar Java como una solución alternativa. Tiene un largo post que explica por qué, pero la versión corta es que la última demostración de la hazaña de Duong y Rizzo implica el uso de Java. No hay garantía de que esta sea la única forma de explotar el ataque, pero parece ser la única forma práctica que se conoce actualmente. Además, debe asegurarse de que su navegador esté actualizado. Lea la publicación larga del blog de Eric Rescorla para obtener una explicación.

Advertencia: la gente aún está recopilando información sobre el ataque. Este consejo puede cambiar a medida que haya más información disponible.

    
respondido por el D.W. 24.09.2011 - 19:30
fuente

Lea otras preguntas en las etiquetas