有一种名为FREAK的新攻击
WCF 是否受到 FREAK 攻击的影响?
正如我从这个问题中了解到的那样,无法以编程方式在 WCF 中指定允许的密码。
问问题
108 次
1 回答
1
你需要三件事让 FREAK 工作:
- 服务器,允许“弱”(导出)密码套件请求
- 易受攻击的客户端,由于 OpenSSL/安全传输错误,允许“弱”密码套件响应
- 中间人,例如您、您的 ISP 或服务器网络上的公共热点或流氓机器
从您链接的文章中:
目前,Windows 和 Linux 终端用户设备被认为不会受到影响。
因此,如果您让 Android 或 Apple 客户端直接与任何允许“导出”密码套件的服务器上的 HTTPS 站点通信,那么这些客户端很容易受到攻击。
如果该站点碰巧运行可通过 HTTP 访问的 WCF 服务(BasicHttp/SOAP 1.1、WsHttp/SOAP 1.2),那么是的,您的 WCF 服务很容易受到攻击。这意味着客户端可以看到服务器未发送的内容,并且中间的人可以读取服务器和客户端交换的所有流量。
于 2015-03-05T11:43:24.900 回答