Защищен ли ваш сайт от FREAK Attack?

В наши дни веб-безопасность становится все более актуальной. Всегда есть чем занять эксперта по безопасности, а названия уязвимостей немного броские, такие как Heart Bleed, Poodle, а теперь и Freak Attack.

В этом руководстве я объясню, как определить, затронут ли ваш сайт, и как исправить уязвимости.

Введение

Если вы заинтересованы или не знаете о Freak Attack, то вот несколько слов. Картикеян Бхаргаван обнаружил уязвимость атаки FREAK в INRIA в Париже.

3 марта 2015 года было объявлено, что новая уязвимость SSL/TLS позволит злоумышленнику перехватить HTTPS-соединение между уязвимым клиентом и сервером и заставить их использовать слабое шифрование. Это поможет злоумышленнику украсть или манипулировать конфиденциальными данными.

Проверьте, не уязвим ли ваш сервер

Если ваш веб-сервер принимает наборы шифров RSA_EXPORT, вы подвергаетесь риску. Вы можете выполнить проверку своего URL-адреса HTTPS по следующей ссылке.

Исправить уязвимость системы безопасности FREAK Attack

HTTP-сервер Apache — вы можете отключить наборы шифров EXPORT, добавив ниже в свой файл конфигурации httpd.conf или SSL.

SSLCipherSuite !EXPORT

Возможно, у вас уже есть строка SSLCipherSuite в файле конфигурации. Если это так, вам просто нужно добавить !EXPORT в конце строки.

Если вы новичок в настройке, вы можете прочитать мое Руководство по безопасности и усилению безопасности веб-сервера Apache.

Nginx — добавьте следующее в свой файл конфигурации.

ssl_ciphers '!EXPORT';

Кроме того, вы можете использовать Генератор конфигурации SSL или же Рекомендуемая конфигурация Mozilla для защиты с помощью уязвимостей SSL/TLS.

Как владелец веб-сайта или инженер по безопасности, вы должны регулярно выполнять проверку безопасности своего веб-сайта, чтобы обнаруживать любые новые уязвимости и получать уведомления.

Вас также может заинтересовать исправление атаки Logjam.

Понравилось читать статью? Как насчет того, чтобы поделиться с миром?