Porównaj ceny domen i usług IT, sprzedawców z całego świata

Co jest lepsze: włącz lub wyłącz SSL_OP_DONT_INSERT_EMPTY_FRAGMENTS?


Tytuł najlepiej podsumowuje moje pytanie.
Staram się, aby mój serwer Ubuntu 10.0.4 był zgodny ze standardem PCI i ostatnią pozycją na liście jest upewnienie się, że nie jest podatny na atak BEAST. Aby to zrobić, mogę wyłączyć SSL_OP_DONT_INSERT_EMPTY_FRAGMENTS, ale z poniższego linku:
http://people.canonical.com/~u ... .html
http://people.canonical.com/~u ... .html
złamałoby to kompatybilność z niektórymi implementacjami SSL, ale nie przyniosłoby znaczących korzyści w zakresie bezpieczeństwa, ponieważ atak BEAST jest niepraktyczny, a nowoczesne przeglądarki nie pozwalają na uruchomienie dowolnego kodu.
Ostatecznym celem jest zapewnienie zgodności z PCI, ale nie ma niepraktycznego rozwiązania (na przykład nie chcę wyłączać TLS 1.0).
Edycja: pytanie dodatkowe zostało przeniesione do osobnego pytania:

Gdzie znaleźć plik do zainstalowania SSL_OP_DONT_INSERT_EMPTY_FRAGMENTS
https://serverfault.com/questi ... ments
Zaproszony:
Anonimowy użytkownik

Anonimowy użytkownik

Potwierdzenie od:

Jeśli Twoim celem jest zachowanie zgodności z PCI bez robienia sobie bałaganu
pieprzyć atak bestii


.
Poważnie, każda nowoczesna przeglądarka współpracowała z BEAST dla

lat

teraz. Albo powiedz, że nie stanowi to problemu w dokumentacji polityki, lub, jeśli twoi audytorzy są idiotami, przyjmij stanowisko, że jeśli ktoś używa przeglądarki reagującej na BEAST, po prostu odmówisz mu dostępu do Twojej witryny i poinstruujesz ich, aby je zaktualizowali kiepska, przestarzała, niezabezpieczona przeglądarka (i pozwól zespołowi aplikacji wdrożyć to poprzez wykrywanie przeglądarki).
Kolejną najlepszą obroną, oprócz „pieprzenia bestii”, jest wyłączenie TLS/1.0 i wymaganie od wszystkich klientów używania TLS/1.1 lub nowszego. (W rzeczywistości jest to opcja „Fuck the BEAST”, która wymaga jawnej odmowy rozmowy z dowolną przeglądarką, która jest na tyle beznadziejna, by była podatna na ataki).

Zerwanie kompatybilności dla osób o słabym zabezpieczeniu jest

tylko

więc zmuszasz ich do aktualizacji.
Jeśli nadal nie chcesz tego robić, możesz rozwiązać problem.

wyłączając szyfry podatne na BEAST
https://security.stackexchange ... 24817
ale w tym samym czasie

inne (nieprzyjemne) implikacje dla bezpieczeństwa
http://www.isg.rhul.ac.uk/tls/
że PCI w jego nieskończonej krótkowzroczności nie obchodzi.

Zamkniesz „lukę w zabezpieczeniach” (cudzysłowy, ponieważ dość dobrze się omija), aby otworzyć
dziura w zabezpieczeniach


(potencjalny wektor atakujący do włamania się do Twojej witryny w prawdziwym świecie, bez dobrych, kompensujących kontroli, jakie posiada BEAST).

Aby odpowiedzieć na pytania, Zaloguj się lub Zarejestruj się