我正在尝试在Spring Boot Application中启用RC4密码套件(该应用程序仅支持JSEE密码套件http://docs.oracle.com/javase/7/docs/technotes/guides/security/SunProviders.html)
以上链接有如此多的RC4密码套件,应启用所有密码套件以避免BEAST攻击?有没有办法只为Spring Boot Application中的TLS v1.0支持RC4密码?
答案 0 :(得分:2)
您的信息有点过时了。是的,RC4可用于缓解BEAST攻击。关于BEAST的RC4的积极因素是它是流密码,而不是分组密码。
然而,作为加密算法的RC4有几个弱点,可以用来攻击加密本身。
因此,一般安全建议是根本禁用RC4密码。
更好地升级您的系统并仅使用TLS 1.2连接。这也可以防止BEAST。