¿Crypto.js es vulnerable a un ataque cardíaco? [duplicar]

6

Estamos utilizando 'crypto.js' en nuestra aplicación.

Dado que 'crypto.js' usa SSL abierto, ¿somos vulnerables a un ataque cardíaco?

En caso afirmativo, ¿qué podemos hacer para evitarlo?

    
pregunta user44548 14.04.2014 - 12:55
fuente

2 respuestas

5

Crypto.js no utiliza OpenSSL, es interoperable con algunos de los mismos algoritmos, y no es vulnerable a Heartbleed. Tanto más porque usualmente usa crypto.js en el cliente , no en el servidor OpenSSLified.

    
respondido por el LSerni 14.04.2014 - 13:08
fuente
1

Si navegas por la fuente Crypto.js , no implementa TLS (o SSL), y como tal no puede implementar la extensión TLS Heartbeats. Al no implementar TLS o Heartbeats, no puede tener la vulnerabilidad de Heartbeat explotada por Heartbleed (confiando en la longitud de la carga útil en una solicitud de HB incluso si es más larga que el mensaje original y devolviendo esa cantidad de datos).

Sí, hay un par de referencias a OpenSSL en cryptoJS (todas dentro de cipher-core.js , pero son simplemente una respuesta al uso de un formato de clave OpenSSL (por ejemplo, su código in definido dentro de cryptoJS con CryptoJS.format.OpenSSL ) o al usar una clave OpenSSL función de derivación ( OpenSSLKdf = C_kdf.OpenSSL ). Tenga en cuenta que cryptojs no se vincula a la biblioteca OpenSSL ni llama al ejecutable de OpenSSL.

    
respondido por el dr jimbob 14.04.2014 - 19:46
fuente

Lea otras preguntas en las etiquetas