Назад | Перейти на главную страницу

Что лучше: включить или отключить SSL_OP_DONT_INSERT_EMPTY_FRAGMENTS?

Название лучше всего резюмирует мой вопрос.

Я пытаюсь сделать свой сервер ubuntu 10.0.4 совместимым с PCI, и для этого последний пункт в списке - убедиться, что он не уязвим для атаки BEAST. Для этого я могу отключить SSL_OP_DONT_INSERT_EMPTY_FRAGMENTS, но по следующей ссылке:

http://people.canonical.com/~ubuntu-security/cve/2011/CVE-2011-3389.html

это нарушит совместимость с некоторыми реализациями SSL, но не принесет существенных преимуществ в плане безопасности, поскольку атака BEAST непрактична, а современные браузеры не позволяют запускать произвольный код.

Конечная цель заключается в следующем: быть совместимым с PCI, но без непрактичного решения (например, я не хочу отключать TLS 1.0).

Изменить: вторичный вопрос перенесен в отдельный вопрос: Где найти файл для установки SSL_OP_DONT_INSERT_EMPTY_FRAGMENTS

Если ваша цель - соответствовать PCI, не создавая беспорядка для себя к черту атаку ЗВЕРЯ.

Серьезно, каждый современный браузер работал с BEAST для лет сейчас. Либо заявите, что это не проблема в документации по политике, либо, если ваши аудиторы - идиоты, займут позицию, что если кто-то использует браузер, восприимчивый к BEAST, вы просто откажете им в доступе к вашему сайту и дадите им указание обновить их паршивые, устаревший, небезопасный браузер (и пусть ваша команда разработчиков приложений реализует это через обнаружение браузера).


Следующим лучшим средством защиты, помимо «к черту ЗВЕРЯ», является отключение TLS / 1.0 и требование, чтобы все клиенты использовали TLS / 1.1 или выше. (На самом деле это вариант «К черту ЗВЕРЯ», который требует прямого отказа разговаривать с любым браузером, достаточно дрянным, чтобы быть уязвимым).
Нарушение совместимости для людей с плохой безопасностью - это только так вы заставите их обновить.

Если вы по-прежнему не хотите этого делать, вы можете решить проблему. путем отключения шифров, уязвимых для BEAST, но при этом другие (неприятные) последствия для безопасности что PCI в его бесконечной близорукости не заботится.
Вы закроете "дыру в безопасности" (кавычки, потому что это довольно хорошо обходится), чтобы открыть дыра в безопасности (потенциальный вектор злоумышленников для взлома вашего сайта в реальном мире, без хороших компенсирующих элементов управления, которые есть у BEAST).