問題タブ [poodle-attack]

次のような典型的なことをするとします。

また、API サービスは、POODLE エクスプロイトが原因で SSL 3.0 を無効にしていると教えてくれました。コードが TLS を使用するようにするために、コードに対して何かを行う必要がありますか? 要求を行うマシンで何かを行う必要がありますか?

質問にかなりの無知が組み込まれていることは承知していますが、多くの開発者はこの質問に答えてもらいたいだけだと思います。

SSL 3 はPOODLE攻撃 に対して脆弱であることが判明しました。

https URI に接続するときに System.Net.WebRequest が使用する SSL/TLS のバージョンはどれですか?

WebRequest を使用して、いくつかのサードパーティ API に接続します。これらの 1 つは、SSL 3 を使用するすべてのリクエストをブロックすると述べています。

私はいくつかの Web サービスを利用し、JSON 経由でデータを取得するアプリを持っています。SSLv3 が中間者攻撃に対して脆弱であり、サーバー所有者が SSLv3 を完全にオフにするという最新の発見まで、すべてがかなり長い間正常に機能していました。 . アプリケーションで接続に問題が発生し始め、「リクエストが中止されました: 安全な SSL/TLS 接続を確立できません」というエラーが返されました。解決策を探してみたところ、Web リクエストを作成する前にこのコードを追加する必要がある情報が見つかりました。

残念ながら、ここではうまくいきません。アプリは以前と同じように動作し、このコードが何もしないのか、サーバーにまだ問題があるのか​​ わかりません。エラー情報はかなりあいまいで、どこで問題が発生したかを理解するのに問題があります。

これが私のコードです

Tls12をデフォルトとして使用するように設定する方法を尋ねたいと思います。また、最後の要求が目的のプロトコルであることを確認します。

自分のアプリが正常に動作することを確認した場合、サーバーの応答からより詳細な情報を取得し、エラーの正確な理由を特定する方法はありますか?

すべての回答と提案に感謝します。

編集

質問の 2 番目の部分は解決されました。このツールhttp://www.telerik.com/download/fiddlerを見つけたので、送信データと受信データで何が起こっているかを確認できます。また、このツールを使用すると SSL 接続をデコードできるため、このオプションを有効にすると、アプリケーションが動作し始めます。このアプリは、アプリと宛先ホスト間の通信を可能にする何かを行うと思います。しかし、それが何であるかはまだわかりません。そして、これらの接続を自分で適切に処理するようにアプリを作成する方法。

Thin が SSLv3 を使用してリクエストを受け付けないようにする方法はありますか?

SSL を実行しているシン サーバーで Poodle を処理する方法に関するリソースが見つかりません。必要がない場合は、nginxの背後に移動したくないので、リソースがあれば役立ちます。ソースコードを調べましたが、モンキーパッチを適用する方法が見つかりませんでした。参照も見つかりません。

Recommendations元の研究に基づく：

https://www.openssl.org/~bodo/ssl-poodle.pdf

中間者 (MITM) が通信を傍受し、暗号化されたクライアントの "Hello" が平文で伝搬すると仮定すると、MITM がダウングレード ダンス中に TLS_FALLBACK_SCSV フラグを削除することを妨げるものは何ですか (したがって、提案されたメカニズムを非効率的にします)?

とにかく完全に効率的ではありません (既存の SSL3.0 ブラウザーが影響を受けるためです。そうしないと、サーバー側でそのサポートが完全に削除される可能性があります): TLS_FALLBACK_SCSV 口実の下での Chrome のプロモーションに照らして...

私のレガシー Ruby アプリケーションの 1 つは、まだ Ruby 1.8.7 を使用しています。サードパーティの Web サービスで多くの HTTP リクエストを作成し、そのうちのいくつかは SSL 経由です。

これらのサードパーティ サービスは、POODLE の脆弱性が原因で SSLv3 のサポートを終了しており、クライアントにパッチを適用して接続を継続したいと考えています。

Ruby の標準ライブラリNet::HTTPには、使用する SSL バージョンを変更する方法がないようです。

Ruby のopenssl( ssl-internal.rb ) には、バージョンを変更する方法があります。残念ながら、これはNet::HTTP( https.rb ) によって公開されていません。

私たち (Ruby 1.8.7 のユーザー) はめちゃくちゃですか?

編集：実際、TLSv1サーバーがサポートしていない場合、クライアントはに切り替えているようSSLv3です。Nginx の背後に、SSLv3 をサポートしていない SSL 対応の Web サイトがあり、1.8.7 クライアントが TLSv1 に切り替わり、リクエストが機能することを確認しました。自分で確認したい場合は、こちらをご覧ください: https://serverfault.com/questions/620123/how-can-i-let-nginx-log-the-used-ssl-tls-protocol-and-ciphersuite

POODLE の脆弱性について、私の理解が正しければ、サーバーによってアドバタイズされたより高いバージョンのプロトコルを使用してサーバーとの安全なチャネルを確立できなかった場合に、TLS プロトコルを SSLv3 に自動的にダウングレードするクライアントが必要です。

一般的な Java HTTP クライアント ライブラリ、具体的には javax.net.ssl.HttpsURLConnection および Apache HttpClient は、サーバーとの TLS セッションの確立に失敗したときに、TLS プロトコルを自動的にダウングレードしますか? そうでない場合、(a) サーバーが SSLv3 のみをサポートするか、(b) より高いレベルのロジックがダウングレードを実行しない限り、POODLE 攻撃の影響を受けないというのは正しいですか?

http://blog.hagander.net/archives/222-A-few-short-notes-about-PostgreSQL-and-POODLE.htmlのようなものを探していますが、Java クライアント用です。