apache – 编译标志与配置选项 – TLS心跳

前端之家收集整理的这篇文章主要介绍了apache – 编译标志与配置选项 – TLS心跳前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。

如果您错过了它 – 在TLS Heartbeat Extension的实施中的OpenSSL漏洞一直在进行.有关更多信息,请参阅http://heartbleed.com/.

其中一个可能的缓解步骤是使用-DOPENSSL_NO_HEARTBEATS选项重新编译OpenSSL以禁用易受攻击的扩展.

为什么系统管理员必须重新编译库以禁用扩展?为什么没有配置选项?本来可以更容易地进行短期补救.

我最好的猜测,这是一个高性能的库,作为一个库本质上没有像服务那样​​的配置文件.通过Apache mod_sslNginx HttpSslModule文档搜索,我没有看到任何允许我通过配置禁用Heartbeat功能内容.这不应该是一个选择吗?

-编辑-

为了澄清,受影响的每个人都需要撤销和替换受影响的SSL证书.这里的主要问题是该漏洞允许任何人从易受攻击的服务器中提取64 KB的应用程序内存.这可以通过配置选项轻松解决.必须撤销和替换SSL证书是此漏洞的第二个后果,其中包括可能从应用程序内存泄漏的数据类型(用户名,密码,会话信息…)等问题.

-EDIT2-

澄清 – 通过配置我并不是指编译OpenSSL时的配置.我的意思是在Web服务器中配置.例如,使用apache mod_ssl,我可以配置一系列影响SSL的选项,例如Cipher Suites available.

我不知道程序员在做出这个决定时的心态,但是是 – 一个库不会被用于一个定义明确的场景或两个,它会被使用但是有人编写了main()打电话给它

如果你真的想要禁用一个选项,那么编译它似乎是我最好和最安全的路线.

原文链接:https://www.f2er.com/nginx/434816.html

猜你在找的Nginx相关文章