Working on the latest SSL3 vulnerability (POODLE) and wondering if you can detect if the browser viewing the website has SSL3 enabled in their settings and if so prompt them with a message.
问问题
564 次
2 回答
0
无法从纯 Javascript 获取该浏览器设置。但是,您可以从浏览器扩展程序中获取该设置。实际上,有一些扩展可以操纵该设置,例如:
https://addons.mozilla.org/en-US/firefox/addon/ssl-version-control/
但是,如果客户端浏览器允许 SSL3 连接,则有些网站会显示,例如:
经过一些分析,我得出结论,他们都使用相同的方法来验证客户端浏览器是否支持 SSL3。他们设置了一个仅支持 SSL3 连接的网络服务器(对于 ssllabs,它部署在https://www.ssllabs.com:10300和 zmap 在https://ssl3.zmap.io/sslv3test.js),然后他们发出来自客户端浏览器(使用 JavaScript)对这些 URL 的请求,如果连接中止,他们知道浏览器中未启用 SSL3。如果他们收到 200 响应,他们就知道浏览器支持 SSL3。
于 2014-10-23T16:01:42.937 回答
0
这实际上是一种倒退。理想情况下,如果有一个仅支持 TLS 的站点,您可以通过脚本测试它是否可以访问。如果它失败了,那么你知道当你关闭 SSL 时用户会受到影响。或者,也许没有人愿意尝试用一两个星期的警告来逐步淘汰用户,而只是计划抽出 SSL 看看会发生什么。
于 2014-11-11T08:39:08.317 回答