【发布时间】:2015-03-05 11:09:49
【问题描述】:
【问题讨论】:
标签: wcf ssl wcf-security man-in-the-middle
【发布时间】:2015-03-05 11:09:49
【问题描述】:
要让 FREAK 工作,您需要三件事:
- 服务器,允许“弱”(导出)密码套件请求
- 易受攻击的客户端,由于 OpenSSL/安全传输错误而允许“弱”密码套件响应
- 中间人,例如您、您的 ISP 或服务器网络上的公共热点或恶意机器
来自您链接的文章:
目前,Windows 和 Linux 最终用户设备被认为不会受到影响。
因此,如果您让 Android 或 Apple 客户端直接与任何允许“导出”密码套件的服务器上的 HTTPS 站点通信,则这些客户端很容易受到攻击。
如果该站点碰巧运行可通过 HTTP 访问的 WCF 服务(BasicHttp/SOAP 1.1、WsHttp/SOAP 1.2),那么是的,您的 WCF 服务很容易受到攻击。这意味着客户端可以看到服务器未发送的内容,并且中间的人可以读取服务器和客户端交换的所有流量。
【讨论】: