Vlákno názorů k článku Nekopírujte kód z diskusních fór, jsou v něm bezpečnostní chyby od Starous - Ono třeba u TLS je další problém v...

1. 6. 2017 9:14

Starous (neregistrovaný)

Ono třeba u TLS je další problém v tom že co je best practice před 2 roky je dneska brané jako zranitelné a z komentářů to nemusí být patrné - dobře hodnocené odpovědi žijí dlouho. IMHO Obecně problém u bezpečnostních otázek je že většina vývojářů na ně odpoví špatně a jen menšina ví jaké jsou aktuální best practices....proto tam palce nahoru a dolů příliš nefungují
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
1. 6. 2017 13:42

kallsyms

Jj, třeba AES-CBC v TLS považují za "insecure", ale jednak pro legacy aplikace je to relativně OK (a nevíme, jak staré aplikace hodnotili). AES-CBC implementace v TLS netrpí na padding oracle a BEAST je prakticky nepoužitelný.

Co je zvláštní, tak mají AES-CBC v tabulce 2 insecure u TLS a na obou stranách v tabulce 3 o symetrických šifrách, přitom je mnohem pravděpodobnější, že někdo při použití AES-CBC mimo TLS vyrobí padding oracle (a ne naopak).
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
1. 6. 2017 23:01

Starous (neregistrovaný)

AES-CBC je nebezpečný pouze u TLS 1.0 pokud máte TLS 1.2 tak je to cajk. Jinak staré implementace často ignorovaly potřebu setovat náhodný IV a pak to opravdu bezpečné není.

Dále u nás najdete