Ruby 1.9/2.x 存在不安全的SSL/TLS默认客户端 - 开源中国社区
Float_left Icon_close
Ruby 1.9/2.x 存在不安全的SSL/TLS默认客户端
oschina 2014年01月22日

Ruby 1.9/2.x 存在不安全的SSL/TLS默认客户端

oschina oschina 发布于2014年01月22日 收藏 8 评论 3

阿里云高性能云服务器,2折起! >>> >>>  

Ruby 1.9、2.0 和 2.1 使用不安全的默认 SSL/TLS 客户端连接,这导致了被继承或者覆盖的配置让 OpenSSL 控制的连接不安全。注意,包括 OpenSSL 和 Ruby 的默认都是不安全的,你可以使用这个代码来测试这个问题。

Ruby 默认使用 TLS 压缩,这让 Ruby 客户端暴露在 CRIME 攻击之下。详情请看这里

Ruby 同时使用各种不安全的加密套件,这些加密套件使用的密钥场地远低于当前推荐的长度,这让解密变得容易,或者不对服务器的证书进行有效性检查使得存在中间人攻击

Ruby 同时默认允许 SSLv2 连接,这尝试使用 SSLv2 客户端来连接更高版本的 SSL/TLS。SSLv2 已经在 1990 年就出了问题被认为是不安全的。

所幸现在已有安全补丁来解决这个问题:ruby_ssl.patch    Magnifier    (1.077 KB)    Jeff Hodges, 2014-01-17 10:28

via Ruby-lang 

本站文章除注明转载外,均为本站原创或编译。欢迎任何形式的转载,但请务必注明出处,尊重他人劳动共创开源社区。
转载请注明:文章转载自 开源中国社区 [http://www.oschina.net]
本文标题:Ruby 1.9/2.x 存在不安全的SSL/TLS默认客户端
分享
评论(3)
最新评论
0
虽然在学ruby,但是目前这样的新闻对我来说简直是:不明觉历!
0
"这些加密套件使用的密钥场地远低于当前推荐的长度" -> "这些加密套件使用的密钥长度远低于当前推荐的长度"
0
看不懂再说什么
编程语言跟客户端有什么关系???
是库有问题 还是什么?
顶部