web-dev-qa-db-ja.com

SSL TLS再ネゴシエーションの脆弱性-クライアントの現状

SSL再ネゴシエーション問題について読む CVE-2009-3555 古いタイプの再ネゴシエーションをサポートするサーバーがデータインジェクションに対して脆弱であることを知っています。それらをテストするツールもあります(openssl s_clientおよび Qualsys SSL labs )。

しかし、クライアントの状況はどうですか?いくつかのブラウザーを使用して https://ssltls.de サイトを確認したところ、この問題を修正した2つのブラウザーはFirefox(3.5.9および3.6.2以降)とOpera(11.00または10.50以降)。

サイトによると依然として脆弱なブラウザは次のとおりです。

  • Chrome 9.0.597.16
  • Chrome 12.0.742.124(!)
  • Chrome 13.0.782.56ベータ
  • Chrome 14.0.825.0開発
  • Internet Explorer 9(!)
  • Konqueror 4.6.3

このテストは信頼できますか?それとも状況は本当に厳しいのでしょうか?

編集:openssl s_serverを使用してクライアントの脆弱性をテストする方法はありますか?

tlsweb-browserknown-vulnerabilitiesprotocols
12
Hubert Kario

主要なブラウザーのすべての現在のバージョン(IE/FF/Chrome)には、安全な再ネゴシエーションのための修正が実際にパッチされています。

Ssltls.deサイトにはいくつかの問題があるようです。別のブラウザー、別のネットワーク接続を使用してアクセスしたため、結果に一貫性がありませんでした。 Wiresharkは、拡張機能を送信するブラウザーとそれに応答するサーバーを示しているため、拡張機能をより適切に検出するようにテストを改善できるようです。

4
Nasko