解決關鍵SSL安全問題和漏洞

2022-06-22 15:51:15 字數 1272 閱讀 2775

下面讓我們來了解這些ssl安全問題以及可幫助資訊保安專業人員解決這些問題及安全部署ssl的七個步驟。

第一步:ssl證書

ssl證書是ssl安全的重要組成部分,並指示使用者**是否可信。基於此,ssl必須是從可靠的證書頒發機構(ca)獲取,而且ca的市場份額越大 越好,因為這意味著證書被撤銷的機率更低。企業不應該依靠自簽名證書。企業最好選擇採用sha-2雜湊演算法的證書,因為目前這種演算法還沒有已知漏洞。

擴充套件驗證(ev)證書提供了另一種方法來提高對**安全的信任度。大多數瀏覽器會將具有ev證書的**顯示為安全綠色**,這為終端使用者提供了強烈的視覺線索,讓他們知道該**可安全訪問。

第二步:禁用過時的ssl版本

較舊版本的ssl協議是導致ssl安全問題的主要因素。ssl 2.0早就遭受攻擊,並應該被禁用。而因為poodle攻擊的發現,ssl 3.0 現在也被視為遭受破壞,且不應該被支援。web伺服器應該配置為在第乙個例項中使用tlsv1.2,這提供了最高的安全性。現代瀏覽器都支援這個協議,運 行舊瀏覽器的使用者則可以啟用tls 1.1和1.0支援。

第三步:禁用弱密碼

少於128位的密碼應該被禁用,因為它們沒有提供足夠的加密強度。這也將滿足禁用輸出密碼的要求。rc4密碼應該被禁用,因為它存在漏洞容易受到攻擊。

理想情況下,web伺服器應該配置為優先使用ecdhe密碼,啟用前向保密。該選項意味著,即使伺服器的私鑰被攻破,攻擊者將無法解密先前攔截的通訊。

第四步:禁用客戶端重新協商

重新協商允許客戶端和伺服器阻止ssl交流以重新協商連線的引數。客戶端發起的重新協商可能導致拒絕服務攻擊,這是嚴重的ssl安全問題,因為這個過程需要伺服器端更多的處理能力。

第五步:禁用tls壓縮

crime攻擊通過利用壓縮過程中的漏洞,可解密部分安全連線。而禁用tls壓縮可防止這種攻擊。另外要注意,http壓縮可能被time和breach攻擊利用;然而,這些都是非常難以完成的攻擊。

第六步:禁用混合內容

應該在**的所有區域啟用加密。任何混合內容(即部分加密,部分未加密)都可能導致整個使用者會話遭攻擊。

第七步:安全cookie和http嚴格傳輸安全(hsts)

確保所有控制使用者會話的cookie都設定了安全屬性;這可防止cookie通過不安全的連線被暴力破解和攔截。與此類似,還應該啟用hsts以防止任何未加密連線。

按照這些步驟的話,ssl部署會很安全

解決執行緒安全問題

一 1 同步 塊 解決runnable的執行緒安全問題 格式 synchronized 同步監視器 被同步的 操作共享資料的 共享資料 多個執行緒共同操作的變數 同步監視器 俗稱鎖,任何乙個類的物件都可以充當鎖。同步監視器中可以用this充當鎖 2 解決繼承thread類的執行緒安全問題 synch...

解決執行緒的安全問題

synchronized的底層是使用作業系統的mutex lock實現的。1.作為方法的修飾符 方法的定義前面synchronized intadd int a,int b synchronized static intadd int a,int b 2.作為同步 塊synchronized 物件的...

前端安全問題及解決

xss安全漏洞 xss漏洞修復 function filterxss str,regexp var regex gi 去除包含 內容的,防止xss漏洞 var filtervalue str.replace g,去除 開頭型別的xss漏洞 filtervalue str.replace csrf安全...