这两天SSL的事情大家都比较关注,今天会重点说一下。
1、TLS/SSL安全问题
最近消息说黑客已经攻破SSL加密,导致业内一片风声鹤唳。但是什么是通过浏览器攻破SSL/TLS(简称BEAST),这种攻破是基于什么机制,很多文章解释的让人根本看不懂。下面是一个比较简单的解释:
大多数加密方式基于两种情况:
1、攻击者不知道加密消息用的密钥
2、攻击者不知道被发送的消息
BEAST攻击的第一步就是将代码植入到当前浏览器的会话当中,可能通过iframe或XSS来实现;这条代码造成浏览器在SSL通道中传输一些已知的纯文本,有很多简单的JavaScript都可以实现这一点;另一方面,攻击者已经通过嗅探或中间人攻击获取到了SSL上传递过的消息。那么现在有了已知原文本的一段文字,有了加密后的文字,又有了被发送的消息,就可以通过一些解密手法获取cookie了。
文章也推荐了一些防护措施,对用户来说要尽量在离开SSL网站之前进行登出;网站管理员则要确保登出功能的合理性,会话cookie与IP的绑定,以及SSL加密在RC4和AES之间的选择。
被感染的浏览器们(Firefox、IE、Chrome、Opera、Safari)纷纷表示问题不是那么严重。而且由于SSL/TLS是一个业界标准,需要多方共同推进才能解决这个问题。升级到TLS 1.1不会被这个漏洞所影响,但由于大部分SSL连接都是用TLS 1.0,所以暂时还无法成为一个解决方案。(英文来源)
2、Oracle Open World预览
Oracle总裁Mark Hurd通过电话对本次的Open World进行了概述。Oracle OpenWorld 2011将在10月2日到6日在旧金山举办。
Oracle策略:将覆盖硬件,操作系统,数据库,中间件,垂直市场领域的应用层。
云计算:将会有更多针对SaaS和云计算的声音。
新技术:年年更多新技术。预计今年总到场人数将有5万人。
有关厂商锁入:Exadata不会造成锁入。(英文来源)
3、FreeBSD 9.0 Beta 3发布
FreeBSD 9.0的第三个Beta开了新分支,现在-current和-stable上都进行统治,不过-current上会有更多的信息。
发行注记:http://lists.freebsd.org/pipermail/freebsd-stable/2011-September/064030.html
下载地址仍在各个FTP镜像的如下路径中:
amd64: .../releases/amd64/amd64/ISO-IMAGES/9.0/
i386: .../releases/i386/i386/ISO-IMAGES/9.0/
ia64: .../releases/ia64/ia64/ISO-IMAGES/9.0/
powerpc: .../releases/powerpc/powerpc/ISO-IMAGES/9.0/
powerpc64: .../releases/powerpc/powerpc64/ISO-IMAGES/9.0/
sparc64: .../releases/sparc64/sparc64/ISO-IMAGES/9.0/
(英文来源)
【往期系统观察】
