WCF 是否受到 FREAK 攻击的影响?
Is WCF affected by FREAK attack?
有新攻击命名为 FREAK
WCF 是否受到 FREAK 攻击的影响?
正如我从 this question 了解到的那样,无法以编程方式在 WCF 中指定允许的密码。
要使 FREAK 正常工作,您需要三样东西:
- 一个服务器,允许'weak'(导出)密码套件请求
- 易受攻击的客户端,由于 OpenSSL/Secure 传输错误
允许 'weak' 密码套件响应
- 中间人,例如您、您的 ISP 或服务器网络上的 public 热点或流氓机器
来自您链接的文章:
At the moment, Windows and Linux end-user devices were not believed to be affected.
因此,如果您让 Android 或 Apple 客户端直接与任何允许 'export' cihper 套件的服务器上的 HTTPS 站点对话,这些客户端就会受到攻击。
如果该站点恰好 运行 可通过 HTTP 访问的 WCF 服务(BasicHttp/SOAP 1.1,WsHttp/SOAP 1.2),那么是的,您的 WCF 服务存在漏洞。这意味着客户端可以看到服务器未发送的内容,中间人可以读取服务器和客户端交换的所有流量。
有新攻击命名为 FREAK
WCF 是否受到 FREAK 攻击的影响?
正如我从 this question 了解到的那样,无法以编程方式在 WCF 中指定允许的密码。
要使 FREAK 正常工作,您需要三样东西:
- 一个服务器,允许'weak'(导出)密码套件请求
- 易受攻击的客户端,由于 OpenSSL/Secure 传输错误 允许 'weak' 密码套件响应
- 中间人,例如您、您的 ISP 或服务器网络上的 public 热点或流氓机器
来自您链接的文章:
At the moment, Windows and Linux end-user devices were not believed to be affected.
因此,如果您让 Android 或 Apple 客户端直接与任何允许 'export' cihper 套件的服务器上的 HTTPS 站点对话,这些客户端就会受到攻击。
如果该站点恰好 运行 可通过 HTTP 访问的 WCF 服务(BasicHttp/SOAP 1.1,WsHttp/SOAP 1.2),那么是的,您的 WCF 服务存在漏洞。这意味着客户端可以看到服务器未发送的内容,中间人可以读取服务器和客户端交换的所有流量。