¿Deshabilitar TLS 1.0, habilitar RC4 o usar TLS1.0 solo con AES, son las únicas formas de mitigar el servidor BEAST?

Navega tus respuestas
1

Entiendo que BEAST es muy difícil de explotar y que la mayoría de los navegadores modernos ya lo han solucionado.

Además, habilitar RC4 introducirá otros riesgos. Por lo tanto, si aún desea mitigar el casi imposible ataque BEAST explotable, ¡solo en el lado del servidor! ¿Es la única manera de dejar de soportar TLS 1.0? ¿O lo usaría TLS 1.0 solo en AES, también lo arreglaría?

En ambas soluciones, lo que causaría la menor reducción de la compatibilidad del navegador a la vez que mitigaría el lado del servidor BEAST.

    
pregunta Bob Ortiz 16.03.2017 - 22:50
fuente

2 respuestas

1

Sí. Hace varios años, Qualys cubrió las técnicas de mitigación , y notablemente, varios métodos que podría pensar que funcionarían (como "habilitar la técnica de fragmentos vacíos del lado del servidor") son ineficaces porque el ataque es del lado del cliente.

Sin embargo, TLS 1.1+ es mucho más común en estos días . Además, la mayoría de los clientes agregaron mitigación hace años ( incluso Apple , que fue lento en la toma). Entre estos dos factores, BEAST realmente ya no es una gran preocupación.

    
respondido por el Xiong Chiamiov 17.03.2017 - 04:20
fuente
0

La mayoría de las veces, deshabilitar los cifrados débiles puede resolver el problema.

Si está utilizando openssl: openssl ciphers -v 'ECDH + AESGCM: DH + AESGCM: ECDH + AES256: DH + AES256: ECDH + AES128: DH + AES: RSA + AESGCM: RSA + AES:! aNULL:! MD5:! suites para ti.

Puede encontrar los detalles en el siguiente enlace que encontré mientras investigaba. enlace

    
respondido por el Harshavardhan Vadhavkar 17.03.2017 - 13:26
fuente

Lea otras preguntas en las etiquetas

Cómo manejar el desperdicio informativo Romper el anonimato en un Kippo honeypot