Preguntas con etiqueta 'beast'

1
respuesta

TLS: RC4 o no RC4?

Estaba leyendo otro artículo interesante por Matthew Green hoy, diciendo que    Si está utilizando RC4 como su conjunto de cifrado principal en SSL / TLS, ahora sería un buen momento para detenerse Por lo que sé, RC4 ha estado arriba...
hecha 12.03.2013 - 22:45
5
respuestas

Cómo arreglar SSL 2.0 y BEAST en IIS

Como puedes ver en esta publicación TeamMentor.net vulnerable a BEAST y SSL 2.0, ¿y ahora qué? la aplicación que estoy desarrollando actualmente está marcada para SSL 2.0 y BEAST por SSL Labs. Estoy usando IIS 7.0 con los últimos parches y...
hecha 30.04.2012 - 14:14
3
respuestas

¿Por qué el ataque BEAST antes era considerado inverosímil?

¿Alguien puede explicar por qué el ataque BEAST no fue considerado plausible? Vi un artículo que cita al creador diciendo: 'Vale la pena señalar que la vulnerabilidad que explota BEAST se ha presentado desde la primera versión de SSL. La mayoría...
hecha 16.10.2011 - 09:25
4
respuestas

¿Por qué los principales navegadores actualmente no admiten TLS por encima de la versión 1.0?

TLS 1.0 parece ser vulnerable a Bestia , Lucky13 y tal vez otros ataques y simplemente está desactualizado. Solución común utilizada, por ejemplo, Google usó RC4, que también se rompió recientemente, pero ninguno de los principales navegadores...
hecha 19.03.2013 - 03:03
3
respuestas

¿Hay una manera de mitigar BEAST sin deshabilitar AES completamente?

Parece que la forma más sencilla de proteger a los usuarios contra el ataque BEAST en TLS < = 1.0 es preferir RC4 o incluso deshabilitar todos los demás conjuntos de cifrado (CBC), por ejemplo. especificando algo como SSLCipherSuite RC4-SHA...
hecha 11.07.2012 - 15:38
1
respuesta

¿Herramientas para probar si hay BESTIA / CRIMEN que NO ESTÁN basadas en Internet?

Tenemos cada vez más presión para identificar y remediar cualquier configuración de servidor HTTPS que sea vulnerable a BEAST (CBC) y CRIME (compresión). Necesitamos reparar los servidores a los que se puede acceder a través de Internet, los...
hecha 19.09.2012 - 16:03
5
respuestas

¿Qué puedo hacer con respecto a la vulnerabilidad de inyección de JavaScript de TLS 1.0 en mi servidor?

El reciente artículo publicado en slashdot enlace dice que las conexiones aseguradas con TLS 1.0 son susceptibles al descifrado del hombre en el medio (la explotación BESTIA). Tengo una aplicación alojada en Google Appengine, que parece usar T...
hecha 22.09.2011 - 15:14
2
respuestas

¿Se recomienda AES-GCM para SSL?

Estoy pensando en activar SSL en todo el sitio para un sitio web que administro, y me pregunto cuáles son las mejores prácticas para la configuración de SSL. No estoy demasiado preocupado por la compatibilidad con navegadores antiguos y disposit...
hecha 24.01.2013 - 14:17
4
respuestas

Vulnerabilidad de inyección de JavaScript TLS 1.0 (BEAST): ¿qué hacer con el cliente?

Con las supuestas vulnerabilidades de SSL / TLS utilizadas por el exploit de BEAST , parece que ser una brecha de seguridad entre las versiones TLS; TLS 1.0 es la problemática, pero sigue siendo la única opción para muchos sitios. Si de hech...
hecha 23.09.2011 - 14:31
3
respuestas

¿Cómo probar el ataque BEAST si el servidor no está conectado a Internet?

Me gustaría probar un servidor específicamente para detectar vulnerabilidades relacionadas con BEAST. ¿Qué modificadores de línea de comando debo usar? ¿Qué debo ver (o no ver) en la salida? Update La intención es escanear un servidor we...
hecha 03.02.2012 - 22:10