Est-il préférable d'activer ou de désactiver SSL_OP_DONT_INSERT_EMPTY_FRAGMENTS?

Le titre résume mieux ma question.

J'essaie de rendre mon server Ubuntu 10.0.4 compatible avec le PCI, et pour ce faire, la dernière balise de la list est de s'assurer qu'il n'est pas vulnérable à l'attaque BEAST. Pour ce faire, je peux désactiver SSL_OP_DONT_INSERT_EMPTY_FRAGMENTS, mais selon le lien suivant:

http://people.canonical.com/~ubuntu-security/cve/2011/CVE-2011-3389.html

Cela risque de compromettre la compatibilité avec certaines implémentations de SSL, sans offrir vraiment beaucoup de bénéfices de security puisque l'attaque de BEAST est peu pratique et les browsers modernes ne permettent pas l'exécution de code arbitraire.

L'objective final est le suivant: être compatible PCI, mais sans solution peu pratique (p. Ex., Je ne souhaite pas désactiver TLS 1.0).

Modifier: question secondaire déplacée à une question distincte: où puis-je find le file pour définir SSL_OP_DONT_INSERT_EMPTY_FRAGMENTS

One Solution collect form web for “Est-il préférable d'activer ou de désactiver SSL_OP_DONT_INSERT_EMPTY_FRAGMENTS?”

Si votre objective est d'être compatible PCI sans créer de gâchis, attaquez- vous l'attaque BEAST .

Sérieusement, chaque browser moderne a travaillé autour de BEAST depuis des années . Discutez le non-problème dans votre documentation de politique, ou si vos auditeurs sont des idiots prenez le point que si quelqu'un utilise un browser qui est susceptible de BEAST, vous refuserez simplement leur access à votre site et leur requestr de mettre à jour leur mauvaise qualité, un browser non sécurisé et non sécurisé (et que votre équipe d'applications mette en œuvre cela via la détection du browser).


La prochaine meilleure atténuation, en plus de «visser le BEAST», est de désactiver TLS / 1.0 – et exige que tous les clients utilisent TLS / 1.1 ou supérieur. (Ceci est vraiment une variante de "Screw the BEAST", appliqué par un refus direct de parler à n'importe quel browser assez craquelé pour être vulnérable).
La rupture de la compatibilité pour les personnes ayant une mauvaise security est la seule façon de les mettre à niveau.

Si vous ne voulez toujours pas le faire, vous pouvez atténuer le problème en désactivant les numbers qui sont sensibles à BEAST , mais cela a d' autres (méchantes) implications de security que le PCI dans sa myopie infini ne s'en préoccupe pas.
Vous allez fermer un «trou de security» (citations aériennes, car il est assez bien travaillé) pour ouvrir un trou de security (un vector potentiel pour les attaquants malveillants de compromettre votre site dans le monde réel, sans les bons controls de compensation que BEAST a ).

  • Postfix - virtuel - exclut l'expéditeur des destinataires
  • CRON: le module est inconnu
  • Quel est l'effet de l'exécution de "sudo passwd" sur un système sans count racine?
  • erreur d'installation de l'image du magasin dans UEC
  • Comment puis-je installer php 5.2.10 sur Ubuntu 10.04?
  • CRON travail en cours d'exécution mais aucun signe de cela dans aucun file
  • Intégration de la database Active Directory et OpenLDAP
  • Comment augmenter la limite maxi FD pour un process Daemon fonctionnant sous un user sans tête?
  • Mettre à niveau OpenSSL 0.9.8k vers OpenSSL 1.0.1c sur Ubuntu 10.04
  • Sécurisation d'un programme d'installation d'Apache avec un server Web Ubuntu neuf avec les users et les permissions
  • Trae InPORTamousse Trapp Da Marco Trapp Da Marco Trapp Da Marco Da Marco Trapp Da Marco Marco Da Marco Da Marco Da Marco Daño Da Marco Marco Daon Da Marco Da Marco Marco Daon Da Marco Marco Daon Da Marco
  • Les astuces du serveur de linux et windows, tels que ubuntu, centos, apache, nginx, debian et des sujets de rĂ©seau.