问题标签 [beast]

For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.

0 投票
2 回答
1068 浏览

ruby-on-rails - Ruby on Rails 是否有 Beast 的替代品

一个名为 Beast 的开源项目用大约 500 行 Ruby on Rails 代码实现了一个论坛。该项目似乎陷入了沉默(http://beast.caboo.se/)。是否有一个开源项目可以替代 beast 并且兼容为 Beast 定义的数据库模式?我使用 Beast 赞助了一个论坛,并希望在更新版本的 Ruby on Rails 上将部署从 Ubuntu 升级并迁移到 OS X。

0 投票
1 回答
124 浏览

ruby-on-rails - 两个 Rails 应用程序,一个用户群,正在寻找一个最简单的解决方案来处理这个问题

我有两个 Rails 应用程序,我们称它们为 A 和 B。A 有现有的用户群,我希望这些用户能够使用 A 中管理的用户名和密码登录到 B。

B 是 Altered Beast 论坛的修改版本,如果我的应用程序的用户不必创建另一个用户帐户来使用论坛,那就太好了。我最初的想法只是将 User 模型换成 ActiveResource 模型。论坛托管在不同的服务器上,因此直接将数据库连接到 A 的数据库太麻烦了。

我的问题是是否有任何插件或身份验证系统扩展可以处理这种设置。

0 投票
1 回答
290 浏览

ruby-on-rails - Rails 2.0.2 中的 ApplicationController 方法不使用引擎覆盖插件方法

我正在尝试在我的项目中使用 Savage Beast 2 插件。此插件需要使用 Engines 插件。我的项目在 Rails 2.0.2 上。

里面有一些方法

我的意思是覆盖

插件中的视图(即使通过在主应用程序中创建类似视图来覆盖)看不到 application.rb 中的覆盖方法,而是访问

我的 application.rb 的开头是这样的:

我还在 /config/environment.rb 中添加了正确的行 -

在 require ... 引导行之后。

我不确定此时该怎么做。任何帮助将不胜感激。

0 投票
1 回答
972 浏览

.net - SslStream、BEAST 和 TLS 1.1

随着最近BEAST的出现(利用 SSL/TLS1.0 中的漏洞,其中有效负载的初始字节始终相同),我查看了SslStream该类以查看它是否支持 TLS 1.1、TLS 1.2 等。它只支持 ( SslProtocol) SSL 2 和 3(都早于 TLS)和 TLS 1.0。

鉴于SslProtocol仅宣传对 TLS 1.0 及更低版本的支持,是否有可能SslStream用于 TLS 1.1 及更高版本?

0 投票
3 回答
3657 浏览

tomcat - 保护 tomcat 6 apr SSL 免受 BEAST 攻击

我们使用本地 Apache Portable Runtime SSL 连接器在 Tomcat 6 上运行 Web 应用程序,以提供 SSL 连接。我们如何配置服务器以防止 BEAST 攻击?建议的解决方案(1)不能在Tomcat配置中配置,因为它不允许设置SSLHonorCipherOrder参数(2)。

我们目前仅使用设置 SSLCipherSuite="ECDHE-RSA-AES256-SHA384:AES256-SHA256:RC4:HIGH:!MD5:!aNULL:!EDH:!AESGCM" 但使用 SSL 服务器测试的扫描显示服务器仍然易受 BEAST 攻击。我知道我们可以通过在 Tomcat 前面加上一个 Apache 代理来解决这个问题,但是这种变化太具有侵略性,无法在短期内实施。我还可以修补 Tomcat 以添加支持,但这会阻止违反策略的 Tomcat 包的自动更新。

1:https ://community.quallys.com/blogs/securitylabs/2011/10/17/mitigating-the-beast-attack-on-tls

2:http: //tomcat.apache.org/tomcat-6.0-doc/apr.html

0 投票
0 回答
439 浏览

c# - 有什么方法可以强制 Web 客户端在我的 C# Web 服务器中使用安全 SSL 密码(TLS 1.1/TC4),以避免 BEAST 攻击

我有一个用 C# 编写的专业网络应用程序 - 我的 C# 代码充当网络服务器,接受来自浏览器的连接,并将应​​用程序呈现为网页。

现有应用程序使用 SSL 来保护来自浏览器的连接,但我担心 BEAST,它会使许多旧的 SSL 密码不安全。因此,我想确保我只接受使用 TLS1.1 或更高版本的连接,和/或像 RC4 这样的安全密码。

我已经接受我将不得不放弃我正在使用的 SSL 库,并可能切换到带有 SslStream 的 .NET 4.5。

虽然我看到了如何使用 SslProtocol 和 CipherAlgorithm 检查流的密码,但我找不到强制连接选择更安全算法之一的方法。我错过了什么吗?

为免生疑问,这与 ASP 无关——该服务器是用原始 C# 编写的。我需要一种使 SslStream 更喜欢特定密码的编程方式。我不太可能拥有更改主机服务器上的 ssl 注册表设置的必要权限。

0 投票
0 回答
119 浏览

java - 由于 BEAST 修复,Java 通过 JNDI/LDAP/TLS 与 Active Directory 通信有任何问题吗?

Microsoft 和 Java 都进行了更改以解决 BEAST 漏洞。根据这篇 MSDN 文章,似乎一些互操作性问题已经出现,微软显然提供了一个 SQL Server 补丁来帮助与 Java 6 更新 30 及更高版本的互操作性。

由于 BEAST 问题与 TLS 协议有关,我认为类似的互操作性问题可能会随着尝试与 Windows 系统通信 TLS 的 Java 代码一起出现。所以...

  • 有谁知道在 Java 6 更新 29 或更高版本上运行的 Java 代码尝试通过 JNDI、LDAP 和 TLS 与 Active Directory 通信时发生的任何类似的互操作性问题?

  • 任何人都知道为什么微软的互操作性补丁似乎是针对 SQL Server 而不是 Windows?

0 投票
1 回答
4008 浏览

ssl - OpenSSL:密码套件中的操作模式

我正在研究 SSL 3.0 和 TLS 1.0 的 BEAST 攻击。要了解 SSL 3.0 支持的密码套件集,我输入了以下命令:

在输出中,一些 ciper 规范名称包括操作模式(例如 DES-CBC-SHA 的 CBC),但其他不包括操作模式(例如 AES128-SHA)。

我的问题是,当在 SSL/TLS 握手中选择每个基于块的密码套件(例如 AES128-SHA1)时,它使用什么操作模式?它是否默认为CBC模式?

0 投票
1 回答
1408 浏览

ssl - 在 wamp 服务器上使用 openssl 修改 ssl 版本

我目前正在测试 TLS 1.0 中的一些漏洞。我创建了一个网站并将其托管在 wamp 服务器 2.4 上。我正在使用 openssl 为 SSL 加密版本创建自签名证书。1.01。但是当前的 openssl 版本使用 TLS 1.2 提供。我想使用 TLS 1.0 而不是测试一些漏洞,例如 TLS 1.0 中存在的 BEAST 攻击。我想知道如何修改版本,以便网站现在使用 TLS 1.0 协议。

0 投票
1 回答
1708 浏览

java - 为 Spring Boot 应用程序启用 RC4 密码套件

我正在尝试在 Spring Boot 应用程序中启用 RC4 密码套件(该应用程序仅支持 JSEE 密码套件http://docs.oracle.com/javase/7/docs/technotes/guides/security/SunProviders.html

上面的链接有这么多的 RC4 密码套件,应该启用所有密码套件以避免 BEAST 攻击?有没有办法在 Spring Boot 应用程序中仅支持 TLS v1.0 的 RC4 密码?