个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
27
4
我们使用 native Apache Portable Runtime SSL 连接器在 Tomcat 6 上运行 Web 应用程序以提供 SSL 连接。我们如何配置服务器以防止 BEAST 攻击?。建议解决方案(1)不能在Tomcat配置中配置,因为它不允许设置SSLHonorCipherOrder参数(2)。
我们目前仅使用设置 SSLCipherSuite="ECDHE-RSA-AES256-SHA384:AES256-SHA256:RC4:HIGH:!MD5:!aNULL:!EDH:!AESGCM"但使用 SSL 服务器测试进行的扫描显示服务器仍然容易受到 BEAST 攻击。我知道我们可以通过在 Tomcat 前端使用 Apache 代理来解决这个问题,但这种改变在短期内实现起来太具有侵入性。我也可以修补 Tomcat 以添加支持,但这会阻止违反政策的 Tomcat 包的自动更新。
1:https://community.qualys.com/blogs/securitylabs/2011/10/17/mitigating-the-beast-attack-on-tls
最佳答案
解决此问题的合乎逻辑的方法是让 Tomcat 实现 CipherOrder 指令,正如此 BugZilla 链接所示,该指令似乎包含在 Tomcat 7.0.30 之后的版本中。我最有兴趣尝试一下,尝试后会反馈。 https://issues.apache.org/bugzilla/show_bug.cgi?id=53481
关于tomcat - 保护 tomcat 6 apr SSL 免受 BEAST 攻击,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/10139891/
27
4
0
Beast::ssl_stream和beast::net::ssl::stream有什么不同?什么时候使用每一种都合适?我看到了两者被以相同方式使用的例子。
我观察到从 Beast.1.0.0-b66(使用 Boost.1.64.0)迁移到 Boost.1.67.0.Beast(即集成 Beast进入 boost )。毫无疑问我做错了什么,但我无法想象是什
我正在使用boost::beast从websocket读取数据到std::string。我密切关注boost 1.71.0中的websocket_sync_client.cpp示例,但有一个更改-I
我正在尝试将 boost beast http 库用于 HTTP 客户端。当我使用模拟服务器时,它可以正常工作,但是当我尝试连接到真实服务器时,boost::beast::http::read抛出一个
我从this example开始,所以不会发布所有代码。我的目标是下载大文件而不阻塞我的主线程。第二个目标是获取通知,以便我可以更新进度条。我的代码确实有两种工作方式。首先是只是ioc.run();并
我有我的 C++ 程序。主线程创建一个新线程,专用于处理 websocket。这个新线程使用例如 boost beast 的 async_read() 调用进行读写。它很像 https://www.b
d:\boost\boost\beast\core\detail\ostream.hpp(263): error C2955: 'boost::beast::detail::ostream_helpe
我正在尝试与远程服务器建立 websocket 连接,但出现以下错误:WebSocket 握手被远程端拒绝 我正在关注这个例子:https://www.boost.org/doc/libs/1_70_
我正在阅读 Boost.Beast 文档,我正在尝试在我的代码中使用速率限制: io_context context; tcp::resolver resolver(context); b
我正在尝试向我们网络上需要凭据的设备发送 HTTP 请求。例如,在网络浏览器中,有效的请求是: http://mylogin:myPassword@10.11.2.118/axis-cgi/virtu
我找到了很多展示如何将 boost::beast::multi_buffer 的内容复制到字符串的示例,但是如何将字符串的内容分配给先前在类实例中创建的 multi_buffer? 如果我的类中有示例
我正在使用 boost/beast 库连接到 websocket,并将数据写入 beast::flat_buffer。我的问题是我无法从 buffer 获取数据。我有一个可以写入的线程安全 chann
我正在开发一个 http 解析器,看起来 boost.beast 是一个不错的解析器。但是,我仍然有一些问题: *** 假设已经通过 boost.asio 套接字接收到 HTTP 请求 POST 数据
Beast websocket 示例将数据存储在多缓冲区中: The implementation uses a sequence of one or more character arrays of
使用 boost::beast( https://www.boost.org/doc/libs/1_66_0/libs/beast/example/websocket/client/sync-ssl/
我不是很熟悉 boost::asio 的基础知识。我正在处理连接到 Web 服务器并读取响应的任务。响应在随机时间段抛出,即在生成响应时。 为此,我使用了 boost::beast 库,它包含在 bo
在 C++ 中使用 boost/beast websockets 我已经阅读了有关不支持非阻塞读取的 beast websockets 的问题,以及无法检查数据是否可用的事实,并且在单独的线程中进行读
我正在尝试异步的 Boost Beast 示例 web socket server - client 我正在运行服务器和客户端,如下所示, server.exe 127.0.0.1 4242 1 cl
我正在尝试设计一个系统,我正在创建一个树状结构,用户可以订阅树的任何分支。例如:如果一棵树看起来像 A--B--C | D 这里A是B的父级,B是C和D的父级现在,一个
我们有一个完全同步的应用程序,并且永远是因为它基本上是一个命令行解释器,用于向我们的硬件发送低级命令,并且您不能同时向硬件发送两个命令。对于此配置,我将只有 1 个客户端套接字以同步方式运行,一个命令
我是一名优秀的程序员,十分优秀!