关于 POODLE 漏洞,如果我理解正确的话,它需要一个客户端在无法与使用服务器发布的更高版本协议的服务器建立安全通道时自动将 TLS 协议降级到 SSLv3。
当无法与服务器建立 TLS 会话时,常见的 java HTTP 客户端库,特别是 javax.net.ssl.HttpsURLConnection 和 Apache HttpClient,是否会自动降级 TLS 协议?如果不是,我是否正确,除非(a)服务器仅支持 SSLv3,或者(b)更高级别的逻辑执行降级,否则他们可以免受 POODLE 攻击?
我正在寻找类似http://blog.hagander.net/archives/222-A-few-short-notes-about-PostgreSQL-and-POODLE.html但适用于 Java 客户端的内容。