鉴于FREAK TLS漏洞,如何在Safari中手动禁用不安全的密码套件?
名为SMACK的研究小组发布了一个名为FREAK的漏洞,该漏洞可用于中间人(MITM)攻击。该漏洞是由于美国政府(更具体地说是NSA)创建的一个古老的幽灵所致,在几年前,他们说服了多个组织使用较弱的密钥,这对于在境外使用的任何软件都称为出口级密钥。美国。尽管强键的使用现在已经广泛普及,但仍有几台服务器支持弱键。 该小组发现,可以通过使用客户端并通过弱密钥建立连接来利用此漏洞。服务器生成密钥后,就可以重复使用密钥,直到重新启动服务器为止(可能长达数月)。该小组能够使用Amazon EC2在7.5小时内破解此弱服务器密钥。一旦破解,可能所有的通信都可以降级以使用弱密钥和MITM。 攻击主要针对易受攻击的Web服务器结合OpenSSL(例如Android)客户端和Apple TLS / SSL客户端(Safari),但不针对Firefox,Chrome或IE。 我如何在客户端手动禁用部分或全部不安全的密码套件,例如在Safari中编辑某些配置文件,使用适当的Safari扩展或直接修改二进制文件以立即修复漏洞,尤其是在Apple可能未更新的旧版Safari中?有可能吗? 有问题的密码套件是: CipherSuite TLS_RSA_EXPORT_WITH_RC4_40_MD5 = { 0x00,0x03}; CipherSuite TLS_RSA_EXPORT_WITH_RC2_CBC_40_MD5 = { 0x00,0x06}; CipherSuite TLS_RSA_EXPORT_WITH_DES40_CBC_SHA = { 0x00,0x08}; CipherSuite TLS_DH_DSS_EXPORT_WITH_DES40_CBC_SHA = { 0x00,0x0B}; CipherSuite TLS_DH_RSA_EXPORT_WITH_DES40_CBC_SHA = { 0x00,0x0E}; CipherSuite TLS_DHE_DSS_EXPORT_WITH_DES40_CBC_SHA = { 0x00,0x11}; CipherSuite TLS_DHE_RSA_EXPORT_WITH_DES40_CBC_SHA = { 0x00,0x14}; CipherSuite TLS_DH_anon_EXPORT_WITH_RC4_40_MD5 = { 0x00,0x17}; CipherSuite …