处理最新的SSL3漏洞(POODLE)并想知道您是否可以检测到浏览网站的浏览器是否在其设置中启用了SSL3,如果是,则通过消息提示他们。
答案 0 :(得分:0)
无法从普通Javascript获取该浏览器设置。但是,您可以从浏览器扩展中获取该设置。事实上,有一些扩展可以操纵该设置,如:
https://addons.mozilla.org/en-US/firefox/addon/ssl-version-control/
但是,如果客户端浏览器允许SSL3连接,则会显示一些站点,如:
经过一些分析后,我得出结论,他们都使用相同的方法来验证客户端浏览器是否支持SSL3。他们设置了一个仅支持SSL3连接的Web服务器(对于部署在https://www.ssllabs.com:10300的ssllabs和用于https://ssl3.zmap.io/sslv3test.js的zmap),然后他们从客户端浏览器(使用JavaScript)向这些URL发出请求,如果连接中止,他们知道浏览器中未启用SSL3。如果他们得到200响应,他们就知道浏览器支持SSL3。
答案 1 :(得分:0)
这实际上是倒退。理想情况下,如果有一个仅支持TLS的站点,您可以通过脚本测试是否可以访问。如果失败,那么您知道在关闭SSL时用户将受到影响。或者也许没有人愿意尝试用一周或两周的警告来分析用户,而只是计划抽取SSL并看看会发生什么。