多年来，安全专家早就知道 TLS/SSL 含有这项先天的弱点。也就是说，BEAST 工具套件并未揭露任何我们先前所不知道的秘密。它只是将这项攻击变成一种容易使用的套件，大幅减轻执行这项攻击所需的资源和技术能力。 

    很多人说BEAST是一种中间人 （man-in-the-middle） 攻击，但它却可以轻易地透过浏览器在区域网络上发动。视网络的组态而定，网络监听工具可以安装在目标主机或在邻近的主机上。这一点在基础架构上有许多弹性。

    首先第一步就是想办法将程序代码注入目前的浏览器连线阶段。这可透过内嵌式 iframe 或跨网站程序攻击 （XSS） 这类技巧来达成。注入的程序代码必须促使浏览器透过 SSL 通道将某段已知的纯文字内容传送给服务器。此外，这也能透过简单的 Javascript 来达成。在注入这段程序代码之前，攻击者还必须截取到 SSL 使用者的网络通讯内容，不论是在目标机器上执行一个网络监听程序，或者透过中间人攻击 （man-in-the-middle） 来截取通讯内容。不管怎样，在取得上述纯文字内容和加密过的信息之后，攻击者就能利用一些加密分析工具来解开其中的 Cookie。

    使用者能做些什么？

    尽可能缩短 SSL 连线阶段的时间。攻击者需要一些时间来解开加密过的信息。如果连线阶段 Cookie 在攻击者解开之前就已失效，攻击就无法得逞。

    当您离开某个采用 SSL 保护的网站时，请记得确实执行注销，而非只是前往其他的网站。在很多情况下，只要是确实做到注销的动作，就能让 Cookie 或连线阶段资料失效，因此就算攻击者已成功解开 Cookie 也无用武之地。

    传统的标准安全实务原则依然有效。因为这项攻击的成功条件之一是攻击者必须能够进入您的网络或您的电脑。至少，随时保持资讯安全软体更新，就能让骇客不易得逞。

    但是，修正此问题的最终责任还是在网站系统管理员身上。系统管理员能做些什么？

    确定您的注销动作确实做到预定的功能。当使用者按下“注销”时，如果您的网站未确实让连线阶段 Cookie 失效，那么使用者就会处于危险状态。

    确定在连线阶段建立时将连线阶段 Cookie 与 IP 位址绑定。如果 IP 位址改变，最好再确认一次通讯请求的来源是否为原本的使用者。虽然这样的作法无法杜绝这项攻击，但可让您的使用者较不易受到利用。

    在未仔细评估风险之前，别轻易改变 SSL 加密方法。没错，RC4 的确没有这类风险，但是它的风险比 AES 大得多。而且，您最好随时注意一下IETF TLS 工作小组的最新动态。

    新版的 TLS 标准已经消除了这项漏洞。但很不幸地，市面上的 HTTP 服务器和浏览器尚未全面支持这些新的标准。因此，在您做这类改变之前，请务必仔细评估您的环境和您的使用者族群

第四十一届CIO班招生
国际CIO认证培训
首席数据官（CDO）认证培训

免责声明：本网站（http://www.ciotimes.com/）内容主要来自原创、合作媒体供稿和第三方投稿，凡在本网站出现的信息，均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性，但不保证有关资料的准确性及可靠性，读者在使用前请进一步核实，并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏，概不负任何法律责任。
本网站刊载的所有内容（包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等）版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时，请及时通知本站，予以删除。