Re: Beast attack kwetsbaarheid van webservers

To: debian-user-dutch <debian-user-dutch@lists.debian.org>
Subject: Re: Beast attack kwetsbaarheid van webservers
From: Paul van der Vlis <paul@vandervlis.nl>
Date: Mon, 19 Dec 2011 10:31:23 +0100
Message-id: <[🔎] 4EEF046B.3090100@vandervlis.nl>
In-reply-to: <[🔎] 4EEEFDC0.4050202@tilanus.com>
References: <[🔎] 4EEDF68D.8070901@vandervlis.nl> <[🔎] 4EEEFDC0.4050202@tilanus.com>

Op 19-12-11 10:02, Winfried Tilanus schreef:
> On 12/18/2011 03:19 PM, Paul van der Vlis wrote:
> 
> Hoi,
> 
>> Heeft hier iemand al eens uitgezocht wat dat nu
>> precies is, en hoe ernstig dat is?
> 
> Bij de Beast Attack wordt een stuk Java code geladen in de browser die
> vervolgens een zwakte in de implementatie van TLS gebruikt om een
> Man-In-The-Middle-Attack uit te voeren tegen een beveiligde sessie. De
> Java is nodig om uit de sandbox van de browser te breken.
> 
> Het principe van de aanval was al veel langer bekend, alleen recent is
> er code gemaakt die de aanval uitvoerbaar maakt. De aanval valt mijns
> inziens echter nog steeds in de categorie 'geavanceerd'. Ik verwacht dat
> je er alleen mee te maken zal krijgen als je een bank/betalingssite
> draait of als je doelwit bent van (industriële) spionage.
> 
> Omdat de aanval zich geheel aan de kant van de cliënt afspeelt en de
> zwakheden oftewel in de browser of in het protocol zelf zitten, is het
> mijns inziens ook het beste om het probleem op die niveaus op te lossen.
> Alle browser ontwikkelaars hebben inmiddels patches tegen Beast
> uitgebracht. Het zou zeker helpen om over te stappen naar een nieuwere
> versie van TLS, behalve dat veel servers en browsers die nog niet
> ondersteunen.
> 
> De output van SSL-labs is in zoverre correct: je beschermt je cliënten
> tegen Beast als je overstapt naar een nieuwere versie van TLS. Gezien de
> mitigatie die inmiddels in de browsers heeft plaatsgevonden en de
> slechte ondersteuning van de echte oplossing (TLS 1.2, wat wel meer
> oplost). Zou ik zeggen: negeer het server side en hoop dat je cliënten
> braaf hun updates draaien. Doen ze dat niet, dan hebben ze
> waarschijnlijk een groter probleem dan Beast...

Hartelijk bedankt voor je uitleg!

Als ik het goed begrijp is een client dus ook kwetsbaar als ik alles in
orde zou hebben server-side (met TLS 1.2), maar hij een oudere browser
gebruikt waardoor teruggevallen wordt op TLS 1.1 of 1.0. Tenzij ik
alleen TLS 1.2 zou toestaan en daarmee allerlei mensen buitensluit (b.v.
mijn klanten en mezelf, die Debian stable browsers op de desktop draaien..).

Met vriendelijke groet,
Paul van der Vlis.



-- 
Paul van der Vlis Linux systeembeheer, Groningen
http://www.vandervlis.nl

Reply to:

Follow-Ups:
- Re: Beast attack kwetsbaarheid van webservers
  - From: Winfried Tilanus <winfried@tilanus.com>

References:
- Beast attack kwetsbaarheid van webservers
  - From: Paul van der Vlis <paul@vandervlis.nl>
- Re: Beast attack kwetsbaarheid van webservers
  - From: Winfried Tilanus <winfried@tilanus.com>

Prev by Date: Re: Beast attack kwetsbaarheid van webservers
Next by Date: Re: Beast attack kwetsbaarheid van webservers
Previous by thread: Re: Beast attack kwetsbaarheid van webservers
Next by thread: Re: Beast attack kwetsbaarheid van webservers
Index(es):
- Date
- Thread