Apache 使用SSL配置保护JBoss 7免受Beast攻击
将SSLv3.0/TLSv1.0与某些加密技术(CBC块)结合使用 密码)可能允许攻击者预测后续SSL数据包的所谓初始化向量。利用此信息,攻击者可以访问其他用户的安全会话。此攻击名为BEAST(针对SSL/TLS的浏览器攻击),其目标是用户的浏览器,而不是web服务器。然而,也可以在服务器端采取对策来防止成功的攻击 此问题的完整解决方案是禁用或取消对的支持 使用SSLv3.0/TLSv1.0时易受攻击的加密密码(CBC分组密码)。通常,这可以通过在密码协商过程中优先考虑RC4密码来实现 对于支持SSLv3.0/TLSv1.0的Apache web服务器,可以通过添加 以下配置:Apache 使用SSL配置保护JBoss 7免受Beast攻击,apache,jboss,jboss7.x,Apache,Jboss,Jboss7.x,将SSLv3.0/TLSv1.0与某些加密技术(CBC块)结合使用 密码)可能允许攻击者预测后续SSL数据包的所谓初始化向量。利用此信息,攻击者可以访问其他用户的安全会话。此攻击名为BEAST(针对SSL/TLS的浏览器攻击),其目标是用户的浏览器,而不是web服务器。然而,也可以在服务器端采取对策来防止成功的攻击 此问题的完整解决方案是禁用或取消对的支持 使用SSLv3.0/TLSv1.0时易受攻击的加密密码(CBC分组密码)。通常,这可以通过在密码协商过程中优先考虑RC4密码来实现 对于支持
SSLProtocol All –SSlv2
SSLHonorCipherOrder On
SSLCipherSuite RC4-SHA:HIGH:!ADH
SSLProtocol All –SSlv2
SSLHonorCipherOrder On
SSLCipherSuite ECDHE-RSA-AES256-SHA384:AES256-SHA256:RC4:HIGH:!MD5:!aNULL:!EDH:!AESGCM
对于支持SSLv3.1/TLSv1.1及更高版本的Apache web服务器,建议使用以下配置:
SSLProtocol All –SSlv2
SSLHonorCipherOrder On
SSLCipherSuite RC4-SHA:HIGH:!ADH
SSLProtocol All –SSlv2
SSLHonorCipherOrder On
SSLCipherSuite ECDHE-RSA-AES256-SHA384:AES256-SHA256:RC4:HIGH:!MD5:!aNULL:!EDH:!AESGCM
据我所知,JBoss7基于支持SSLv3.1/TLSv1.1的Apache版本(可能我错了),因此第二种选择可以应用于JBoss7
我的问题是:我应该在哪里/如何配置它?不要对野兽攻击妄想症。根据Oracle的说法,这个问题与JBoss没有直接关系,它是一个JVM问题。如前所述,在现实世界中很难应用野兽攻击。只需确保JVM和JBoss是最新的。如果您仍有疑问,在apache或nginx等反向代理后运行JBoss的最佳实践是什么。我会将您的答案标记为正确,因为我完全同意。但是我需要一些关于如何告诉我的客户“不要偏执狂与野兽攻击”=P的帮助