Tengo entendido que BEAST solo funciona en TLS1.0 y me confundí cuando vi una demostración del ataque BEAST en paypal.com, localmente: enlace
Paypal usa TLS1.2, ¿no estoy seguro de cómo el ataque podría revelar el mensaje o la cookie en este caso?
Tengo entendido que BEAST solo funciona en TLS1.0 y me confundí cuando vi una demostración del ataque BEAST en paypal.com, localmente: enlace
Paypal usa TLS1.2, ¿no estoy seguro de cómo el ataque podría revelar el mensaje o la cookie en este caso?
Paypal admite TLS 1.0, 1.1 y 1.2. Si su navegador anuncia que le gustaría usar TLS 1.2, entonces esa es la versión de TLS con la que Paypal elegirá conectarse. Sin embargo, si su navegador sugiere a los servidores de Paypal que la versión TLS más alta que admite es 1.0, entonces Paypal se conectará felizmente utilizando esa versión de protocolo también. Me imagino que esto es exactamente lo que hizo el que estaba demostrando BEAST. Configure su navegador para que solo use v1.0, y no 1.1 o 1.2.
Lea otras preguntas en las etiquetas attacks encryption tls attack-prevention beast