来自: http : //seclists.org/fulldisclosure/2009/Jul/0388.html 如果我从http://news.ycombinator.com/item?id=723798的post中了解最好的话,那么Matasano的工作人员就可以使用sshd internet访问 – 为此提供的任何解决scheme(从编程的angular度来看)?
应用程序 我们有一个小的Java应用程序,它使用一些骆驼路线从Web服务器上传文件,处理它们,并发送一些电子邮件的结果。 运行此应用程序的服务器已经中断。 现在我们必须在动力不足的硬件上运行它,因为我无法说服pipe理员在networking服务器(实际上是一个多用途服务器)上安装JRE。 害怕 我自己是一名Java应用工程师,我写JEE代码为生,每周处理价值数万欧元的B2B交易。 但我有问题find可靠的来源,反驳java本身是不安全的神话。 pipe理员反对安装JRE的两个主要观点: Java应用程序吃掉了我所有的RAM Java充满了漏洞 真相? 当谈到java应用程序吃ram。 那么…我会说我们必须为Xmx设置适当的值。 完成。 现在有很多关于Java的漏洞的资源。 这些资源主要针对的是运行美国雷德蒙德某公司某个操作系统的最终用户。 AFAIK这可能是未经修补的版本的Java浏览器插件,它被configuration为自动执行所有的小程序,有相当大的机会成为受感染驱动器的受害者。 就像在上class的时候在火车上与eveyone进行无保护的性行为时一样,可能会发生性病。 但是我找不到世界上任何人谈论服务器应用程序或JRE运行无头的人。 那是另一回事 或者我在这里错过了什么? 澄清:我只关心服务器上的Java。 我不关心在Java中开发的Java插件和/或特定软件的问题。
我打算用DNSSEC签署我的DNS区域。 我的区域,注册商和我的DNS服务器(BIND9)都支持DNSSEC。 唯一不支持DNSSEC的是我的辅助名称服务器提供商(即buddyns.com )。 在他们的网站上 ,他们就DNSSEC 做出如下表述: BuddyNS不支持DNSSEC,因为它暴露了一些不适合高容量DNS服务的漏洞。 那么,我认为DNSSEC的使用目前在某种程度上是有问题的,因为大多数parsing器不检查logging是否正确签名。 我不知道的是 – 根据他们的说法 – 似乎提供它会暴露某种安全漏洞。 那些“漏洞”是什么?
最近,Diffie-Hellman中的一个新的漏洞(非正式地被称为“logjam”)已经发布, 本页面已经被整合在一起,提出了如何应对漏洞: 对于正确部署Diffie-Hellman for TLS,我们有三条build议: 禁用导出密码套件。 尽pipe现代浏览器不再支持导出套件,但FREAK和Logjam攻击允许一个中间人攻击者欺骗浏览器使用出口级encryption,之后可以解密TLS连接。 出口密码是1990年代政策的一个残余,它阻止了强大的密码协议从美国出口。 没有现代客户依赖出口套件,并且禁用它们几乎没有什么坏处。 部署(临时)椭圆曲线Diffie-Hellman(ECDHE)。 椭圆曲线Diffie-Hellman(ECDH)密钥交换避免了所有已知的可行的密码分析攻击,现代networking浏览器现在更喜欢ECDHE而不是原始的有限域Diffie-Hellman。 我们用来攻击标准Diffie-Hellman组的离散对数algorithm不像预计算那样强大,并且单个服务器不需要生成唯一的椭圆曲线。 生成强大而独特的Diffie Hellman组 。 数百万个服务器使用了一些固定的组,这使得它们成为预计算和潜在窃听的最佳目标。 pipe理员应该使用每个网站或服务器的“安全”素数生成独特的2048位或更强的Diffie-Hellman组。 根据上述build议,我应该采取哪些最佳实践步骤来保护我的服务器?