關於SSL/TLS BEAST***[BEAST漏洞]

轉自：http://butian.org/server/2543.html

SSLv3和TLS V1存在一個嚴重的漏洞，根據最近發表的的***機制（被稱爲BEAST）。
當咱們知道這個漏洞的名字確定會有問題
一、這個漏洞會影響什麼
二、漏洞的嚴重程度是什麼
三、我能作些什麼來保護本身呢？
四、BEAST怎樣***？

BEAST漏洞會影響什麼？
這些網站上在必定的條件下會影響網站瀏覽者的安全，竊聽者可得到徹底訪問您的賬戶。
它並不影響如下：
一、其餘安全的服務，如使用SSL或TLS的電子郵件（IMAP，POP，SMTP）
二、發佈的數據使用SSL保護的Web網站鏈接(即從安全Web形式發佈數據)
它影響：
登陸安全網站的賬號，如PayPal，Gmail，Facebook等

個人網站瀏覽時可能會受到影響嗎？
若是您使用的是有人惡意能夠查看全部正常的流量網絡上的一個網絡，而且他們還能夠攔截和修改，那麼他們能夠嘗試危及安全的網站瀏覽。
請注意，這並不包括壞人用相同的WiFi網絡和ISP的你，能竊聽不安全的鏈接 – SSL仍然是一個有效的防護。它包括的狀況下，例如：
一、您本地網絡負責人是惡意的。
二、惡意的人闖入你的本地網絡，並得到了其服務器的控制
三、你是在一個國家，它的流入和流出的全部網絡通訊進行監控。
使用的是「信任」的網絡可沒必要過於擔憂。
咱們的意思是
一、您當地的ISP（如AOL，Comcast公司，Verizon等）的管理員一般是可信的。在很大的程度上咱們已經相信他們 – 若是他們想他們可能會危及咱們的系統更容易使用該TLS***（即設計***或病毒，和推行這些到咱們的系統）
二、你的學校或工做網絡的IT人員一般是可信的。（固然，人們在工做中已經「擁有」你作的一切，在他們的網絡。）並且，ISP操做人員等，這些網絡管理員能夠作不少更糟糕的事情比這TLS***更容易，若是他們想。
三、政府 – 你相信這些不強迫互聯網服務供應商竊聽你嗎？即便他們這樣作，取決於政府參與的狀況，大多數人都會有一點擔憂。

這種***是一個問題的組織，要以竊聽你的通信和訪問您的賬戶沒有您的認識和他們要麼
（一）已經知道哪些網站頻繁
（二）有足夠人的網絡流量，他們只是嘗試危及對很是熱鬧的地方，如Gmail，PayPal，或者某些銀行的賬戶。

你看，有一個顯着的潛在威脅，這取決於你在哪裏，你在作什麼。

在什麼狀況下我會受到影響？
簡單地說，若是有一個對你的***，你可能會受到損害，若是：
一、您載入任何不安全的網頁（即網頁地址以http://而不是https://），並啓用JavaScript在瀏覽器中。
二、您在互聯網上使用同一個瀏覽器保持瀏覽長達10分鐘
三、你訪問這個安全的網站其中***者但願可以獲取你訪問的數據。
須要注意的是***者須要提早10分鐘猜想或知道你要訪問有關安全的網站。

做爲一個例子，讓咱們假設***者正試圖竊聽每一個人的Gmail賬戶訪問，以得到用戶名，密碼和其餘敏感數據。
一、當您訪問不安全的網頁（如http://google.com）
二、收集和處理數據訪問https://gmail.com的數據
三、你上了一段時間網
四、您訪問https://gmail.com檢查你的電子郵件
五、***者可使用收集到的信息訪問您的Gmail賬戶如同您在登陸。

我怎樣才能保護本身？

若是您擔憂這種***，你能夠保護本身，從它：
一、關閉您的瀏覽器（全部打開的窗口）
二、打開瀏覽器，直接進入所需的安全網站沒有鏈接到任何不安全的網站。
這工做，由於須要在同一個瀏覽器會話的***使用了一段時間。關閉並從新打開瀏覽器，***者經過否認了任何準備工做。從一個安全（https://）網頁瀏覽會話，防止***者甚至開始。

您能夠絕不費力地作到這一點：
一、讓你的「主頁」（打開的頁面中，當你開始你的網絡瀏覽器）的安全頁面。即https://google.com。而後你就可使用瀏覽器的書籤到您最喜好的安全網站，從您最初的安全頁面導航到這些。
二、把常常訪問安全的網站在您的桌面上，因此當你點擊它們時，您的瀏覽器打開書籤和您直接轉到這個安全的頁面。
三、在瀏覽器中禁用JavaScript。另外，您的瀏覽器配置爲只容許與特定的受信任的安全站點使用JavaScript。
四、使用×××（虛擬專用網）。若是您的計算機鏈接到網絡，你作信任（如工做），發送您的全部安全和不安全的網絡的×××鏈接，繞過懷有惡意的人查看或干擾您的網頁瀏覽本地網絡中的任何能力。
另外，若是你的***者不知道你的瀏覽習慣，那麼他們是不會危及您的安全的。

BEAST怎樣***？
一、當您訪問不安全的網頁，***者改變了返回的頁面，或返回的JavaScript添加的內容，您下載的惡意JavaScript。
二、這種惡意的JavaScript會自動運行在你的網頁瀏覽器（若是你有使用啓用JavaScript）
三、打開JavaScript的一個安全鏈接（例如）https://gmail.com「
四、***者比較在您的瀏覽器和https://gmail.com的之間的加密流量與已知的已發送的數據經過JavaScript。使用計算機處理能力的幾分鐘，***者能夠找出一些所謂的「初始化向量」安全會話。
五、這一信息使他們可以進入將來的安全的身份驗證cookie發送到相同的網站在同一個瀏覽器會話。
六、這些cookie能夠「重放」***者徹底訪問您的賬戶如同若是他們已經登陸，能夠看到，你有任何敏感數據和執行你的行動給他們。
重要的是要注意：
一、這種***須要JavaScript的網頁瀏覽器來工做。
二、它須要一個不安全的網絡鏈接，併爲***者能夠修改的內容返回給你。
三、***者必須猜想您將瀏覽哪些安全的網站
四、***者必須有時間來收集和分析數據。
五、而後您必須鏈接並登陸到相同的網站在同一個瀏覽器會話（即不關閉並從新打開瀏覽器，或使用不一樣的瀏覽器）。
六、***者必須使用該網站，而你的登陸會話處於活動狀態（若是你顯式註銷，一般會同時註銷***，讓但願你，***者並無改變你的密碼！）。
另外：
一、這種***會影響SS v3和之後的版本，TLS1.0
二、它並不影響網站用TLSV1.1或TLSV1.2進行加密
那麼，我能夠只使用「TLS V1.1」或「TLS1.2版」嗎？
答案是「是的，是這樣的」。

一、 只有Internet Explorer和Opera網絡瀏覽器，支持TLS v1.1和更高版本。全部其餘Web瀏覽器（即谷歌Chrome，火狐，Safari瀏覽器，也多是最並不是全部的移動瀏覽器）不支持這些新的安全協議。 此外，即便Internet Explorer不支持這些，他們通常都是默認狀況下禁用

大 多數Web服務器不支持TLS1.1或TLS1.2版還，因此即便您的瀏覽器支持它，你的目標的安全站點可能不 – ，即bankofamerica.com不，mail.google.com不，根據Opera只有0.25％的Web服務器支持TLS v1.1或更高的 – 這不是25％，是一季度的百分之一！
爲何大多數服務器不支持TLS V1.1+？
一、產品質量的標準SSL的軟件庫，如爲「OpenSSL」，還不包括TLS1.1支持，因此大多數網站沒法啓用它。雖然最新的發展OpenSSL的版本支持TLS1.1，這顯然還沒有包含在標準的操做系統安裝的發行
二、還沒有十分須要TLS1.1版與1.2版本到如今爲止。
LuxSci正在與各個廠商（如RedHat），也許TLS1.1支持將被歸入現有的發行版，使每一個人都依賴於這些能夠輕鬆地升級。
替 代品 – 使用一些其餘的SSL系統，或者使用一個很新的openssl的發行版一直沒有獲得很好的狀況下人們的服務器審查 – 都至關很差的，由於他們將須要許多更新，不少大量的測試，可能有一些停機時間安裝和推進整個組織使用替代軟件，也意味着須要手動或經過一些新的將要實施的 更新機制來管理任何將來的OpenSSL的安全更新。
儘管這樣，目前正在調查TLS1.1支持安全的Web服務器，由於它是作正確的事，並且越快越好。
關於網絡瀏覽器的更新？
瀏覽器製造商目前正在調查這個問題。咱們所指望的這些發出一些瀏覽器軟件的更新，在必定程度上減輕這種***Web服務器，而無需升級到TLS1.1。雖然Web服務器升級，固然，須要從長遠來看，他們確定不會很快出現。

微軟認爲這個問題的威脅程度相對較低;Firefox是但願儘快制定的「修復」;其餘TLS專家在目前並不過度擔憂。

額外信息
人們應該老是關注安全和了解不斷變化的場景。咱們認爲超出了須要升級來實現的軟件修復，考慮如下幾點：
一、實際上，咱們儘量應該使用SSL和TLS。不安全的網站使咱們的瀏覽器和計算機處於危險之中，由於咱們沒有哪些惡意的第三方注入到咱們的瀏覽會話的控制。 SSL與TLS保護咱們免受這種威脅。
二、當打算瀏覽安全的網站，它最好是先在一個新的瀏覽會話，只訪問其餘安全（https://）的網站。
三、很容易經過書籤訪問安全站點和其餘安全網站
四、使用一個單獨的Web瀏覽器進行正常不安全的瀏覽和訪問安全的網站。
五、保持最新的軟件，網頁瀏覽器，操做系統，防病毒，和其餘組件。
若是/當瀏覽器製造商推出修復了這個問題，「威脅水平」，將顯著降低
然而相似的***，劫持不安全的鏈接，因爲種種緣由，極可能是在將來還會繼續出現。這將是一個良好的習慣，爲您的安全和不安全的瀏覽如上所述，使用單獨的瀏覽器。

主動的安全習慣是一件好事。

ps:檢測地址https://www.ssllabs.com/ssltest/analyze.html?d=域名&source=tim

 

翻 譯的很爛你們湊合看。英文好的童鞋能夠去http://luxsci.com/blog/is-ssltls-really-broken-by- the-beast-attack-what-is-the-real-story-what-should-i-do.html
OpenSSL 1.0.1版，它支持TLS v1.1和v1.2，這有助於減小這種***。如今全部網站應該使用更新的openssl更安全。 建議使用一個支持TLS v1.1和v1.2的ssl