摘要:今天上午,google發布了乙份關於sslv3漏洞的簡要分析報告。根據google的說法,該漏洞貫穿於所有的sslv3版本中,利用該漏洞,黑客可以通過中間人攻擊等類似的方式(只要劫持到的資料加密兩端均使用ssl3.0),便可以成功獲取到傳輸資料(例如cookies)。
關鍵字:google
sslv3漏洞
今天上午,google發布了乙份關於sslv3漏洞的簡要分析報告。根據google的說法,該漏洞貫穿於所有的sslv3版本中,利用該漏洞,黑客可以通過中間人攻擊等類似的方式(只要劫持到的資料加密兩端均使用ssl3.0),便可以成功獲取到傳輸資料(例如cookies)。截止到發文前,還沒有任何補丁放出來。
對此google表示,他們只能給出乙個無奈的建議:關閉客戶端sslv3支援或者伺服器sslv3支援或者兩者全部關閉。
另外,google已經明確表態將在接下來的數月中,逐步從其服務中撤銷掉sslv3的支援。
freebuf修復建議(感謝紅黃滿提供):
nginx:
ssl_protocols tlsv1 tlsv1.1 tlsv1.2;apache:ssl_prefer_server_ciphers on;
ssl_ciphers ecdhe-rsa-aes256-gcm-sha384:ecdhe-rsa-aes128-gcm-sha256:ecdhe-rsa-aes256-sha384:ecdhe-rsa-aes128-sha256:ecdhe-rsa-rc4-sha:ecdhe-rsa-aes256-sha:dhe-rsa-aes256-sha:dhe-rsa-aes128-sha:rc4-sha:!anull:!enull:!export:!des:!3des:!md5:!dss:!pks;
ssl_session_timeout 5m;
ssl_session_cache builtin:1000 shared:ssl:10m;
sslprotocol all -sslv2 -sslv3sslhonorcipherorder on
sslciphersuite ecdhe-rsa-aes256-gcm-sha384:ecdhe-rsa-aes128-gcm-sha256:ecdhe-rsa-aes256-sha384:ecdhe-rsa-aes128-sha256:ecdhe-rsa-rc4-sha:ecdhe-rsa-aes256-sha:dhe-rsa-aes256-sha:dhe-rsa-aes128-sha:rc4-sha:!anull:!md5:!dss
禁用SSL v2 0 SSL v3 0協議
1 禁用ssl v2.0 ssl v3.0協議,禁用低強度加密金鑰。使用tls 1 tlsv1.1 tlsv1.2版本。2 禁用sslv2參考修補方法如下 檢視本機sslv3加密列表 openssl ciphers v default awk sslv3 kx rsa dh dh 512 apach...
Google 發布網頁統計報告
google發布了網頁統計報告 網頁的平均容量是320kb 包含網頁裡內嵌的指令碼 css 不過需要注意的是有些 會通過robots.txt阻止google爬蟲索取 css和js指令碼檔案 只有2 3的可壓縮內容真正被壓縮了,同樣需要注意的是有些 為真正的瀏覽器提供壓縮內容,而給google爬蟲看的...
Google發布IM軟體 Talk
一如既往地簡潔,一如既往的清爽。基於開放的jabber協議,凡使用此類協議的im客戶端皆可相互通訊,而不只限於google的talk客戶端之間。google的talk客戶端目前主要提供的功能 1 gmail郵件通知功能 2 voip功能 3 可通過talk方便地邀請他人 linux下的使用者,可以通...