- A+
瞌睡龙 (drops) | 2014-10-15 10:56
SSL v3爆出漏洞,攻击者可利用该漏洞获取安全连接当中的明文内容。
SSL 3.0虽然已经将近15年了,但是基本所有的浏览器都支持该协议。
为了保持兼容性,当浏览器进行HTTPS连接失败的时候,将会尝试旧的协议版本,包括SSL 3.0。
攻击者可以利用这个特性强制浏览器使用SSL 3.0,从而进行攻击。
解决该问题可以禁用SSL3.0,或SSL3.0中的CBC模式加密,但是有可能造成兼容性问题。
建议支持TLS_FALLBACK_SCSV,这可以解决重试连接失败的问题,从而防止攻击者强制浏览器使用SSL3.0。
它还可以防止降级到TLS1.2至1.1或1.0,可能有助于防止未来的攻击。
该漏洞的分析细节见:
https://www.imperialviolet.org/2014/10/14/poodle.html
(ps: 此漏洞属于中间人攻击,非心脏出血类漏洞)
$("img").load(function(){ if($(this).attr("width")>640) $(this).attr("width",640); });