In regards to the POODLE attack, I was wondering if Android or Android Browsers supports TLS protocol or not? And What could be done to prevent this attack
问问题
837 次
1 回答
1
来自 Google 的 Adam Langley 对攻击的运作方式做了很好的解释: https ://www.imperialviolet.org/2014/10/14/poodle.html
大多数浏览器支持握手失败的 TLS 重新协商,这包括 Android 中的 HTTP 客户端。无论好坏,这是为了向后兼容错误配置的服务器而有意使用的功能,并且在大多数地方的大多数参考文档中都有记录,或者如果您深入研究本机代码源。
示例 HTTP 客户端:
HttpUrlConnection
TLS Intolerance Support
This class attempts to create secure connections using common TLS extensions and SSL deflate compression. Should that fail, the connection will be retried with SSLv3 only.
OkHttp
OkHttp initiates new connections with modern TLS features (SNI, ALPN), and falls back to SSLv3 if the handshake fails.
也就是说,我认为在 Android 中指定支持的协议版本的能力确实使这在应用程序中不是问题。浏览器是另一回事,由它们各自的所有者处理。例如,Google 自 2014 年 2 月起就支持 Chrome 中的 TLS_FALLBACK_SCSV 修复,并且最近提交了一项更改,以完全从 Chrome 中删除 SSLv3 支持。Mozilla 已表示 Firefox 的“修复”将在 11 月发布。
铬提交: https ://chromium.googlesource.com/chromium/src/+/32352ad08ee673a4d43e8593ce988b224f6482d3
最终的解决方案是为您的服务器 SSL 实施打补丁,如果您是 Android 或 iOS 应用程序开发人员,请将 TLS 协议的使用限制为安全协议。
于 2014-10-21T03:18:36.257 回答