Ssl

與 BEAST 一起使用最安全的密碼?(TLS 1.0 漏洞利用)我讀到 RC4 是免疫的

  • September 25, 2011

既然 BEAST 是公開的知識,TLS 1.0 使用起來並不安全(SSL 3.0 也不安全)。我已經看到有關 RC4 密碼不受影響(並且得到廣泛支持)的報告。真的嗎?

我知道 TLS 1.1 是免疫的。但在 1,000,000 個最受歡迎的啟用 SSL/TLS 的網站中,只有少數 (221) 個支持 TLS 1.1 或更高版本。

該漏洞利用僅限於瀏覽器,因為它需要通過 MITM 的 JavaScript 或瀏覽器外掛。在撰寫本文時,PayPal.com 很容易受到攻擊。

正確的; RC4 是流密碼,不受影響。

缺陷在於 CBC 消息構造,因此使用 CBC 的密碼(有很多,但 AES 和 3DES 是最流行的)都受到影響。

引用自:https://serverfault.com/questions/315042

相關問答

Security

SSL 和 TLS 差異的功能影響

  • June 14, 2021
檢視問答
Security

電子郵件客戶端和 PHPMailer 的安全電子郵件設置

  • June 2, 2016
檢視問答
Security

為什麼當 AES 可用時 Android / IE 使用 3DES?

  • March 11, 2015
檢視問答
Security

郵件伺服器的完美前向保密 (PFS)

  • December 26, 2014
檢視問答
Security

SSL 和 TLS 之間的確切協議級別差異是什麼?

  • October 15, 2014
檢視問答
Security

我需要為根域購買 SSL 證書嗎?

  • April 22, 2013
檢視問答