web-dev-qa-db-ja.com

TLS 1.0 JavaScriptインジェクションの脆弱性(BEAST):クライアント側で何をすべきか?

BEASTエクスプロイト で使用されているとされるSSL/TLSの脆弱性により、TLSバージョン間にセキュリティギャップがあるようです。 TLS 1.0は問題の多いものですが、それでも多くのサイトで唯一のオプションです。

確かに古いTLSバージョンに問題がある場合、起こり得る攻撃を防ぐために、ユーザー側でどのような対策を講じる必要がありますか? TLSバージョンを報告し、より安全なバージョンが使用されている場合にのみ接続を許可するブラウザープラグインは非常に便利ですが、まだ見つけることができていないと思います。

他の提案、実用的なヒントなど?

tlsweb-browserbeast
15
George

セキュリティホールが塞がれるまで(Webサーバーとブラウザソフトウェア)、それを防ぐのは困難です。残念ながら、現在のエクスプロイトはCookieをターゲットにしているため、クライアント側では最小限の制御しかできません。唯一の例外は、暗号化暗号を変更し、CBC暗号をブロックまたは並べ替えて、SSL/TLS通信に使用される可能性が最も低くなるようにすることです。

http://support.Microsoft.com/kb/2450 および http://blogs.technet.com/b/steriley/archive/2007/11/06/changing-を参照してくださいthe-ssl-cipher-order-in-internet-Explorer-7-on-windows-Vista.aspx Windowsでこれを行う方法。

クライアント側の修正が利用可能になる前にできる最善のことは、教育と認識です。含む:

  • ブラウザーを閉じるだけでなく、使用していないWebサイトからログアウトします。
  • ログイン認証情報を保存しないでください。
  • 取引先がWebサイトに厳格なセキュリティ管理を実装するために何をしているかを調べます。

以前のSSL/TLSバージョンを使用しているすべてのWebサイトが影響を受けるわけではないことに注意することも重要だと思います。トランスポートセキュリティの部分(SSL/TLS)はありますが、情報漏えいの影響を軽減するために他のスプーフィング防止手法が導入されている場合があります。

しばらくお待ちください。新しいブラウザバージョンを展開する準備を整えてください。まもなくニュースが追加されますが、いくつかの修正が期待されます。

6
Bernie White

このエクスプロイトがMitMとしてブラウザ内から動作するように想定されている方法からブロックごとの攻撃適応chosen-plaintext cryptanalysis.....

私が考えることができる現在の唯一の解決策(制限されたセキュリティ)(ブラウザとサーバーが新しいバージョンで動作するようにパッチが適用されるまで...時間はかかります)はすべての安全なセッションを独立したブラウザー(別のインスタンスではなく別のブラウザーを覚えておいてください)通常のWebサーフィンには使用されません。すべてをコピーして、別のブラウザで開く必要があります。 AdBlockerとNoScriptブラウザプラグインも使用します

これはかなりの程度まで保護するはずです。とにかく、これは、このエクスプロイトの有無にかかわらず、安全なセッションに適した方法です。

http://hackersmag.blogspot.com/2011/09/beast-beating-ssl-tls-what-you-can-do.html

BEASTをよりよく理解するために、SSLペーパーとJavaでのコード http://www.insecure.cl/Beast-SSL。 rar

3
AbhishekKr

ブラウザベンダーの支援がなければ、これを解決することはできません。 TLS 1.2のサポートを希望することを示すには、ブラウザーのベンダーに連絡してください。 (おそらくバグトラッカーにすでにバグレポートがあります。おそらく、投票して監視し、TLS 1.2をサポートする新しいバージョンのブラウザーがいつ利用可能になるかを確認できます。)

その後、待ちます。

発生する必要があるのは、(1)ブラウザーがTLS 1.2のサポートをロールアウトすること、(2)WebサイトがTLS 1.2のサポートをロールアウトすることです。これらは両方とも時間がかかります。さらに、サイトがサポートしていないためブラウザーがTLS 1.2のサポートを優先せず、ブラウザーがTLS 1.2をサポートしていないためにサイトがTLS 1.2のサポートを優先していないという状況が少しあります。

3
D.W.

現時点では、回避策として Eric RescorlaはJavaを無効にすることを推奨しています です。彼はその理由を説明する長い記事を持っていますが、短いバージョンでは、DuongとRizzoによる最新のエクスプロイトのデモンストレーションにはJavaの使用が含まれています。これが攻撃を悪用する唯一の方法であるという保証はありませんが、現在知られている唯一の実用的な方法であると思われます。また、ブラウザが最新であることを確認する必要があります。説明については、Eric Rescorlaの長いブログ投稿をご覧ください。

警告:人々はまだ攻撃に関する情報を収集しています。このアドバイスは、より多くの情報が利用可能になると変わる可能性があります。

1
D.W.