关于POODLE攻击,我想知道Android或Android浏览器是否支持TLS协议?并且可以采取哪些措施来防止这种攻击
答案 0 :(得分:1)
大多数浏览器支持TLS重新协商以解决失败的握手问题,其中包括Android内的HTTP客户端。为了更好或更糟糕,这是向后兼容错误配置的服务器的有意功能,并且在大多数地方的大多数参考文档中都有记录,或者如果您浏览本机代码源。
示例HTTP客户端:
HttpURLConnection类
TLS Intolerance Support
This class attempts to create secure connections using common TLS extensions and SSL deflate compression. Should that fail, the connection will be retried with SSLv3 only.
OkHttp
OkHttp initiates new connections with modern TLS features (SNI, ALPN), and falls back to SSLv3 if the handshake fails.
这就是说我认为在Android中指定支持的协议版本的能力确实使这在应用程序中成为一个非问题。浏览器是一个不同的故事,由各自的所有者处理。例如,自2014年2月以来,Google一直支持Chrome中的TLS_FALLBACK_SCSV修补程序,并且最近提交了一项更改,以完全从Chrome中删除SSLv3支持。 Mozilla已表示Firefox“修复”将于11月发布。
Chromium提交: https://chromium.googlesource.com/chromium/src/+/32352ad08ee673a4d43e8593ce988b224f6482d3
最终解决方案是保持您的服务器SSL实施修补,如果您是Android或iOS的应用程序开发人员,请将TLS协议使用限制为安全协议。