問題タブ [beast]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
ruby-on-rails - 2 つの Rails アプリケーション、1 つのユーザーベースで、これを処理するための最も簡単なソリューションを探しています
私は 2 つの Rails アプリケーションを持っています。それらを A と B と呼びましょう。A には既存のユーザー ベースがあり、これらのユーザーが A で管理されているユーザー名とパスワードを使用して B にログインできるようにしたいと考えています。
B は Altered Beast フォーラムの変更バージョンであり、私のアプリケーションのユーザーがフォーラムを使用するために別のユーザー アカウントを作成する必要がなければいいと思います。私の最初の考えは、User モデルを ActiveResource モデルに交換することだけでした。フォーラムは別のサーバーでホストされているため、A のデータベースへの直接データベース接続は面倒です。
私の質問は、この種のセットアップを処理するプラグインまたは認証システム拡張機能があるかどうかです。
ruby-on-rails - エンジンを使用してプラグイン メソッドをオーバーライドしない Rails 2.0.2 の ApplicationController メソッド
プロジェクトで Savage Beast 2 プラグインを使用しようとしています。このプラグインでは、エンジン プラグインを使用する必要があります。私のプロジェクトはRails 2.0.2です。
中にはいくつかの方法があります
オーバーライドすることを意味します
プラグイン内のビュー (メイン アプリで同様のビューを作成してオーバーライドされた場合でも) は、application.rb 内のオーバーライドされたメソッドを認識せず、代わりに内のメソッドにアクセスします。
私のapplication.rbの冒頭は次のようになります。
また、正しい行を /config/environment.rb に追加しました -
require ... ブート行の後。
この時点で何をすべきかわかりません。どんな助けでも大歓迎です。
.net - SslStream、BEAST、およびTLS 1.1
最近のBEASTの出現(ペイロードの最初のバイトが常に同じであるSSL / TLS1.0の脆弱性を悪用)で、SslStream
クラスを調べて、TLS 1.1、TLS1.2などをサポートしているかどうかを確認しました。 SslProtocol
) SSL 2および3(どちらもTLSより前のもの)およびTLS1.0。
SslProtocol
TLS 1.0以下のサポートのみをアドバタイズすることを考えるとSslStream
、TLS 1.1以降で使用することは可能ですか?
tomcat - Tomcat 6 apr SSL を BEAST 攻撃から保護する
ネイティブの Apache Portable Runtime SSL コネクタを使用して Tomcat 6 で Web アプリケーションを実行し、SSL 接続を提供します。BEAST 攻撃を防ぐためにサーバーを構成するにはどうすればよいですか? 推奨されるソリューション (1) は、SSLHonorCipherOrder パラメータ (2) を設定できないため、Tomcat 構成では構成できません。
現在、SSLCipherSuite="ECDHE-RSA-AES256-SHA384:AES256-SHA256:RC4:HIGH:!MD5:!aNULL:!EDH:!AESGCM" の設定のみを使用していますが、SSL サーバー テストを使用したスキャンでは、サーバーがまだBEASTアタックに弱い。Tomcat の前に Apache プロキシを配置することでこの問題を解決できることはわかっていますが、この変更は侵略的すぎて短期的には実装できません。また、Tomcat にパッチを適用してサポートを追加することもできますが、ポリシーに反する Tomcat パッケージの自動更新が妨げられます。
1: https://community.qualys.com/blogs/securitylabs/2011/10/17/mitigating-the-beast-attack-on-tls
c# - BEAST 攻撃を回避するために、C# Web サーバーで安全な SSL 暗号 (TLS 1.1/TC4) を使用するよう Web クライアントに強制する方法はありますか?
C# で記述された専門の Web アプリがあります。私の C# コードは Web サーバーとして機能し、ブラウザーからの接続を受け入れ、アプリを Web ページとして表示します。
既存のアプリは SSL を使用してブラウザからの接続を保護していますが、古い SSL 暗号の多くが安全ではない BEAST が心配です。したがって、TLS1.1 以降を使用した接続、および/または RC4 のような安全な暗号のみを受け入れるようにしたいと考えています。
私は、使用していた SSL ライブラリを破棄し、おそらく SslStream を使用して .NET 4.5 に切り替える必要があることを既に受け入れています。
SslProtocol と CipherAlgorithm を使用してストリームの暗号をチェックする方法はわかりましたが、より安全なアルゴリズムのいずれかを優先するように接続を強制する方法が見つかりません。何か不足していますか?
誤解を避けるために、これは ASP とは関係ありません。このサーバーは生の C# で記述されています。SslStream に特定の暗号を優先させるプログラム的な方法が必要です。ホスト サーバーの ssl レジストリ設定を変更するために必要なアクセス許可を持っている可能性は低いです。
java - BEAST の修正により、JNDI/LDAP/TLS を介して Active Directory と通信する Java との通信に問題はありますか?
Microsoft と Java の両方が、BEAST の脆弱性に対処するために変更を加えました。この MSDN の記事に基づくと、いくつかの相互運用性の問題が発生しているようです。Microsoft は、Java 6 update 30 以降との相互運用性を支援する SQL Server パッチを提供しているようです。
BEAST の問題は TLS プロトコルに関連していたので、同様の相互運用性の問題が、Windows システムと TLS をやり取りしようとする Java コードに忍び寄る可能性があると思います。そう...
JNDI、LDAP、および TLS を介して Active Directory と通信しようとする Java 6 update 29 以降で実行されている Java コードで発生した同様の相互運用性の問題について知っている人はいますか?
Microsoft の相互運用性パッチが Windows ではなく SQL Server 向けであると思われる理由を知っている人はいますか?
ssl - OpenSSL: 暗号スイートの操作モード
SSL 3.0 と TLS 1.0 の BEAST 攻撃を研究しています。SSL 3.0 でサポートされている一連の暗号スイートを知るために、次のコマンドを入力しました。
出力では、一部の暗号仕様名には動作モードが含まれていますが (DES-CBC-SHA の CBC など)、含まれていないものもあります (AES128-SHA など)。
私の質問は、SSL/TLS ハンドシェイクで選択された場合、AES128-SHA1 などの各ブロックベースの暗号スイートにどの操作モードが使用されるかということです。デフォルトは CBC モードですか?
ssl - wamp サーバーで openssl を使用して ssl バージョンを変更する
現在、TLS 1.0 のいくつかの脆弱性のテストに取り組んでいます。Web サイトを作成し、wamp サーバー 2.4 でホストしました。SSL暗号化ver.の自己署名証明書の作成にopensslを使用しています。1.01。しかし、現在の openssl バージョンは TLS 1.2 プロバイダーを使用しています。TLS 1.0 に存在する BEAST 攻撃などの脆弱性の一部をテストするのではなく、TLS 1.0 を使用したいと考えています。Web サイトが代わりに TLS 1.0 プロトコルを使用するようにバージョンを変更する方法を知りたいです。