问题标签 [beast]

一个名为 Beast 的开源项目用大约 500 行 Ruby on Rails 代码实现了一个论坛。该项目似乎陷入了沉默（http://beast.caboo.se/）。是否有一个开源项目可以替代 beast 并且兼容为 Beast 定义的数据库模式？我使用 Beast 赞助了一个论坛，并希望在更新版本的 Ruby on Rails 上将部署从 Ubuntu 升级并迁移到 OS X。

我有两个 Rails 应用程序，我们称它们为 A 和 B。A 有现有的用户群，我希望这些用户能够使用 A 中管理的用户名和密码登录到 B。

B 是 Altered Beast 论坛的修改版本，如果我的应用程序的用户不必创建另一个用户帐户来使用论坛，那就太好了。我最初的想法只是将 User 模型换成 ActiveResource 模型。论坛托管在不同的服务器上，因此直接将数据库连接到 A 的数据库太麻烦了。

我的问题是是否有任何插件或身份验证系统扩展可以处理这种设置。

我正在尝试在我的项目中使用 Savage Beast 2 插件。此插件需要使用 Engines 插件。我的项目在 Rails 2.0.2 上。

里面有一些方法

我的意思是覆盖

插件中的视图（即使通过在主应用程序中创建类似视图来覆盖）看不到 application.rb 中的覆盖方法，而是访问

我的 application.rb 的开头是这样的：

我还在 /config/environment.rb 中添加了正确的行 -

在 require ... 引导行之后。

我不确定此时该怎么做。任何帮助将不胜感激。

随着最近BEAST的出现（利用 SSL/TLS1.0 中的漏洞，其中有效负载的初始字节始终相同），我查看了SslStream该类以查看它是否支持 TLS 1.1、TLS 1.2 等。它只支持 ( SslProtocol) SSL 2 和 3（都早于 TLS）和 TLS 1.0。

鉴于SslProtocol仅宣传对 TLS 1.0 及更低版本的支持，是否有可能SslStream用于 TLS 1.1 及更高版本？

我们使用本地 Apache Portable Runtime SSL 连接器在 Tomcat 6 上运行 Web 应用程序，以提供 SSL 连接。我们如何配置服务器以防止 BEAST 攻击？建议的解决方案（1）不能在Tomcat配置中配置，因为它不允许设置SSLHonorCipherOrder参数（2）。

我们目前仅使用设置 SSLCipherSuite="ECDHE-RSA-AES256-SHA384:AES256-SHA256:RC4:HIGH:!MD5:!aNULL:!EDH:!AESGCM" 但使用 SSL 服务器测试的扫描显示服务器仍然易受 BEAST 攻击。我知道我们可以通过在 Tomcat 前面加上一个 Apache 代理来解决这个问题，但是这种变化太具有侵略性，无法在短期内实施。我还可以修补 Tomcat 以添加支持，但这会阻止违反策略的 Tomcat 包的自动更新。

1：https ://community.quallys.com/blogs/securitylabs/2011/10/17/mitigating-the-beast-attack-on-tls

2：http: //tomcat.apache.org/tomcat-6.0-doc/apr.html

我有一个用 C# 编写的专业网络应用程序 - 我的 C# 代码充当网络服务器，接受来自浏览器的连接，并将应​​用程序呈现为网页。

现有应用程序使用 SSL 来保护来自浏览器的连接，但我担心 BEAST，它会使许多旧的 SSL 密码不安全。因此，我想确保我只接受使用 TLS1.1 或更高版本的连接，和/或像 RC4 这样的安全密码。

我已经接受我将不得不放弃我正在使用的 SSL 库，并可能切换到带有 SslStream 的 .NET 4.5。

虽然我看到了如何使用 SslProtocol 和 CipherAlgorithm 检查流的密码，但我找不到强制连接选择更安全算法之一的方法。我错过了什么吗？

为免生疑问，这与 ASP 无关——该服务器是用原始 C# 编写的。我需要一种使 SslStream 更喜欢特定密码的编程方式。我不太可能拥有更改主机服务器上的 ssl 注册表设置的必要权限。

Microsoft 和 Java 都进行了更改以解决 BEAST 漏洞。根据这篇 MSDN 文章，似乎一些互操作性问题已经出现，微软显然提供了一个 SQL Server 补丁来帮助与 Java 6 更新 30 及更高版本的互操作性。

由于 BEAST 问题与 TLS 协议有关，我认为类似的互操作性问题可能会随着尝试与 Windows 系统通信 TLS 的 Java 代码一起出现。所以...

• 有谁知道在 Java 6 更新 29 或更高版本上运行的 Java 代码尝试通过 JNDI、LDAP 和 TLS 与 Active Directory 通信时发生的任何类似的互操作性问题？

• 任何人都知道为什么微软的互操作性补丁似乎是针对 SQL Server 而不是 Windows？

我正在研究 SSL 3.0 和 TLS 1.0 的 BEAST 攻击。要了解 SSL 3.0 支持的密码套件集，我输入了以下命令：

在输出中，一些 ciper 规范名称包括操作模式（例如 DES-CBC-SHA 的 CBC），但其他不包括操作模式（例如 AES128-SHA）。

我的问题是，当在 SSL/TLS 握手中选择每个基于块的密码套件（例如 AES128-SHA1）时，它使用什么操作模式？它是否默认为CBC模式？

我目前正在测试 TLS 1.0 中的一些漏洞。我创建了一个网站并将其托管在 wamp 服务器 2.4 上。我正在使用 openssl 为 SSL 加密版本创建自签名证书。1.01。但是当前的 openssl 版本使用 TLS 1.2 提供。我想使用 TLS 1.0 而不是测试一些漏洞，例如 TLS 1.0 中存在的 BEAST 攻击。我想知道如何修改版本，以便网站现在使用 TLS 1.0 协议。

我正在尝试在 Spring Boot 应用程序中启用 RC4 密码套件（该应用程序仅支持 JSEE 密码套件http://docs.oracle.com/javase/7/docs/technotes/guides/security/SunProviders.html）

上面的链接有这么多的 RC4 密码套件，应该启用所有密码套件以避免 BEAST 攻击？有没有办法在 Spring Boot 应用程序中仅支持 TLS v1.0 的 RC4 密码？