Preguntas con etiqueta 'beast'

2
respuestas

Incumplimiento de SSL: ¿la última vulnerabilidad de BEAST significa que los emisores de SSL ahora tienen que preocuparse por la integridad? [cerrado]

Aunque muchos certificados SSL han estado ofreciendo garantías extravagantes, por lo general alrededor de $ 10k como mínimo a $ 250k por incumplimiento, para garantizar que sus certificados sean válidos hasta la fecha, he oído que nunca ha habid...
hecha 22.09.2011 - 20:02
1
respuesta

RC4-MD5 vs DES-CBC3-SHA [cerrado]

Nos mudamos a RC4-MD5 como mitigación del ataque BEAST. Pero nuestros otros equipos están diciendo que utilicen DES-CBC3-SHA Quiero saber si DES-CBC3-SHA también es seguro y mitiga BEAST también. ¿También es diferente el cumplimiento del n...
hecha 06.05.2014 - 02:42
2
respuestas

¿Deshabilitar TLS 1.0, habilitar RC4 o usar TLS1.0 solo con AES, son las únicas formas de mitigar el servidor BEAST?

Entiendo que BEAST es muy difícil de explotar y que la mayoría de los navegadores modernos ya lo han solucionado. Además, habilitar RC4 introducirá otros riesgos. Por lo tanto, si aún desea mitigar el casi imposible ataque BEAST explotable, ¡...
hecha 16.03.2017 - 22:50
2
respuestas

Los clientes se rompen después de evitar RC4-MD5

Según enlace , se nos recomienda dejar de usar RC4- MD5. Los clientes compatibles con nuestra aplicación son IE 8 y superior, Safari 5 y superior, Chrome 18 y superior, FF 12 y superior, Safari móvil para iPhone, iPad. Por supuesto, queremo...
hecha 15.10.2013 - 20:18
0
respuestas

Cómo explicar el ataque de BEAST a personas que no son de tecnología

Estoy buscando la mejor manera de describir el B filas E xploit A gainst S SL / T LS (BESTIA) ataque a personas no técnicas, sin ser demasiado general. Entonces, no estoy buscando: "¿alguna vez notó el bloqueo en su navegación asegu...
hecha 27.08.2015 - 13:52
3
respuestas

Cifras SSL endurecidas para Nginx como AWS / Cloudfront Custom Origin

Sobre la base de recomendaciones , recientemente intentamos reforzar nuestra configuración de SSL de Nginx contra Ataques de BESTIA / CRIMEN / INCUMPLIMIENTO con la siguiente estrofa: ssl_prefer_server_ciphers on; ssl_ciphers ECDHE-RSA-AES256...
hecha 14.08.2013 - 19:50
1
respuesta

BEAST attack on TSL1.2?

Tengo entendido que BEAST solo funciona en TLS1.0 y me confundí cuando vi una demostración del ataque BEAST en paypal.com, localmente: enlace Paypal usa TLS1.2, ¿no estoy seguro de cómo el ataque podría revelar el mensaje o la cookie en e...
hecha 28.09.2016 - 17:19
1
respuesta

Ataque de bestias y prueba SSL de Qualys

Si un servidor soporta | SSLv3: No supported ciphers found | TLSv1.0: | ciphers: | TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA - strong | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA - strong | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA - st...
hecha 26.06.2015 - 23:24
3
respuestas

¿Está permitido el contenido en gzip a través de TLS?

Tengo estas pocas directivas de compresión a nivel http en nginx: gzip on; gzip_http_version 1.1; gzip_vary on; Leí que esto debería evitarse debido al ataque de CRIME / BREACH, ¿es correcto?     
hecha 06.10.2015 - 13:03