On 12/18/2011 03:19 PM, Paul van der Vlis wrote: Hoi,
> Heeft hier iemand al eens uitgezocht wat dat nu > precies is, en hoe ernstig dat is? Bij de Beast Attack wordt een stuk Java code geladen in de browser die vervolgens een zwakte in de implementatie van TLS gebruikt om een Man-In-The-Middle-Attack uit te voeren tegen een beveiligde sessie. De Java is nodig om uit de sandbox van de browser te breken. Het principe van de aanval was al veel langer bekend, alleen recent is er code gemaakt die de aanval uitvoerbaar maakt. De aanval valt mijns inziens echter nog steeds in de categorie 'geavanceerd'. Ik verwacht dat je er alleen mee te maken zal krijgen als je een bank/betalingssite draait of als je doelwit bent van (industriële) spionage. Omdat de aanval zich geheel aan de kant van de cliënt afspeelt en de zwakheden oftewel in de browser of in het protocol zelf zitten, is het mijns inziens ook het beste om het probleem op die niveaus op te lossen. Alle browser ontwikkelaars hebben inmiddels patches tegen Beast uitgebracht. Het zou zeker helpen om over te stappen naar een nieuwere versie van TLS, behalve dat veel servers en browsers die nog niet ondersteunen. De output van SSL-labs is in zoverre correct: je beschermt je cliënten tegen Beast als je overstapt naar een nieuwere versie van TLS. Gezien de mitigatie die inmiddels in de browsers heeft plaatsgevonden en de slechte ondersteuning van de echte oplossing (TLS 1.2, wat wel meer oplost). Zou ik zeggen: negeer het server side en hoop dat je cliënten braaf hun updates draaien. Doen ze dat niet, dan hebben ze waarschijnlijk een groter probleem dan Beast... groet, Winfried -- To UNSUBSCRIBE, email to debian-user-dutch-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org