【发布时间】:2014-10-20 23:29:12
【问题描述】:
关于 POODLE 攻击,我想知道 Android 或 Android 浏览器是否支持 TLS 协议?以及可以做些什么来防止这种攻击
【问题讨论】:
标签: android poodle-attack
【发布时间】:2014-10-20 23:29:12
【问题描述】:
来自 Google 的亚当·兰利 (Adam Langley) 对攻击的运作方式做了很好的解释: https://www.imperialviolet.org/2014/10/14/poodle.html
大多数浏览器都支持对失败的握手进行 TLS 重新协商,这包括 Android 中的 HTTP 客户端。无论好坏,这是为了向后兼容错误配置的服务器而有意使用的功能,并且在大多数地方的大多数参考文档中都有记录,或者如果您深入研究本机代码源。
HTTP 客户端示例:
HttpUrlConnection
TLS Intolerance Support
This class attempts to create secure connections using common TLS extensions and SSL deflate compression. Should that fail, the connection will be retried with SSLv3 only.
OKHttp
OkHttp initiates new connections with modern TLS features (SNI, ALPN), and falls back to SSLv3 if the handshake fails.
也就是说,我认为在 Android 中指定支持的协议版本的能力确实使得这在应用程序中不是问题。浏览器是另一回事,由它们各自的所有者处理。例如,Google 自 2014 年 2 月起就支持 Chrome 中的 TLS_FALLBACK_SCSV 修复,并且最近提交了一项更改,以完全从 Chrome 中删除 SSLv3 支持。 Mozilla 已表示 Firefox 的“修复”将于 11 月发布。
铬提交: https://chromium.googlesource.com/chromium/src/+/32352ad08ee673a4d43e8593ce988b224f6482d3
最终的解决方案是为您的服务器 SSL 实施打补丁,如果您是 Android 或 iOS 应用程序开发人员,请将 TLS 协议的使用限制为安全协议。
【讨论】: