Estamos utilizando 'crypto.js' en nuestra aplicación.
Dado que 'crypto.js' usa SSL abierto, ¿somos vulnerables a un ataque cardíaco?
En caso afirmativo, ¿qué podemos hacer para evitarlo?
Si navegas por la fuente Crypto.js , no implementa TLS (o SSL), y como tal no puede implementar la extensión TLS Heartbeats. Al no implementar TLS o Heartbeats, no puede tener la vulnerabilidad de Heartbeat explotada por Heartbleed (confiando en la longitud de la carga útil en una solicitud de HB incluso si es más larga que el mensaje original y devolviendo esa cantidad de datos).
Sí, hay un par de referencias a OpenSSL en cryptoJS (todas dentro de cipher-core.js , pero son simplemente una respuesta al uso de un formato de clave OpenSSL (por ejemplo, su código in definido dentro de cryptoJS con CryptoJS.format.OpenSSL
) o al usar una clave OpenSSL función de derivación ( OpenSSLKdf = C_kdf.OpenSSL
). Tenga en cuenta que cryptojs no se vincula a la biblioteca OpenSSL ni llama al ejecutable de OpenSSL.
Lea otras preguntas en las etiquetas cryptography openssl heartbleed