谷歌宣布這是最後一次調整舊有web安全協議。具體而言,谷歌計畫禁用傳輸層安全協議sslv3以及前端伺服器的rc4流密碼,最終,擴充套件至其旗下所有軟體,包括chrome、android、郵件伺服器以及web爬蟲程式。供網際網路任務工作任務組使用的rc4和sslv3均被認為是不安全的。
谷歌在其一篇部落格中指出sslv3已經過時了16年,雖然rc4還沒有面臨相同的問題,但最近儼然已成了攻擊研究的主要目標。考慮到其強度,事實上早在2023年2月ietf就已禁止在tls中使用rc4了。sslv3實乃歷史遺留問題,而最近因為poodle攻擊遭到多方**。
谷歌認為尚有許多**和瀏覽器使用者仍在使用這些有漏洞的協議。根據部落格中的ssl pulse調查顯示,在前200,000 https**中58%仍置有rc4,34%仍置有sslv3。
根據chase cunningham博士的說法,沒有禁用sslv3的**會處於很多攻擊的危險之下。
"留有這些ssl執行的每個**將處於中間人和**型攻擊的威脅下,因此,訪問該**的任何人都大有可能違背規則或是遭遇攔截,"cunningham說。"對於擁有以這類事情知名的**的企業來說,這並不是什麼好事。"
谷歌稱其將緩慢推行在其前端伺服器禁用sslv3和rc4,並最終擴大範圍至所有產品,包括chrome瀏覽器。儘管谷歌指出得是你的伺服器依賴這些中的某個協議,不過tls使用者應該能夠自動根據這些改變做出調整。
相反,谷歌在伺服器識別、密碼套件、信任證書以及證書處理方面為其tls 1.2設定了最小的安全要求。為了使這些轉換更容易,谷歌專門準備了一款測試工具。
cunningham稱谷歌所要做的這些改變並不繁重,甚至對個別企業來說相當輕鬆,但總體而言卻可以發揮很大的作用。"我們企業將在週末做出整個轉換。擁有乙個像樣的it部門的企業能夠在很短的時間內完成,"cunningham說道。"這是項大工程,至少從舊有標準公升級鏈這只是個開始。這是沿著正確的方向邁出的一小步,但彌足珍貴。"
防範心臟流血漏洞,IIS 中禁用SSL
由於心臟流血漏洞,微軟建議關閉ssl而使用tls代替。最近被客戶要求在資料交換系統中關閉ssl,而我們的web服務都是用iis,沒有介面可以操作.谷歌配合度娘了幾下,從ms 找到如下方法來設定iis microsoft windows nt server 儲存有關不同通道協議 這些通道協議具有增強的...
Windows禁用SSL和TLS協議的某個版本
建立以下2個dword型別的登錄檔鍵,並取值為0 hkey local machine system currentcontrolset control securityproviders schannel protocols ssl 3.0 client enabled hkey local ma...
谷歌 Chrome應用商店永久禁用付費擴充套件
chrome網上應用商店已經推出了11年,為了使用者的安全,今年3月份的時候,谷歌曾宣布暫時禁用新的付費程式設計客棧擴充套件。但是現在,這一禁令變成了永久性的。谷歌表示,自2020年9月21日起,你將無法再建立新的付費擴充套件或應用內支付的擴充套件。自2020年3月起生效的這一更改現已永久生效。20...