Обнаружение SSL3 в браузере с использованием Javascript
Работает над последней уязвимостью SSL3 (POODLE) и задается вопросом, можете ли вы определить, поддерживает ли браузер, просматривающий веб-сайт, SSL3 в их настройках, и, если это так, запросить у них сообщение.
2 ответа
Это на самом деле вроде назад. В идеале, если бы был сайт, поддерживающий ТОЛЬКО TLS, вы можете проверить с помощью скрипта, доступен ли он. И если это не удается, то вы знаете, что пользователь будет затронут, когда вы отключите SSL. Или, может быть, никому нет дела до того, чтобы попытаться отодвинуть пользователей на второй или две недели предупреждения, вместо этого они просто планируют восстановить SSL и посмотреть, что произойдет.
Невозможно получить настройки браузера из простого Javascript. Однако вы можете получить эту настройку из расширения браузера. На самом деле есть расширения, которые управляют этим параметром, например:
https://addons.mozilla.org/en-US/firefox/addon/ssl-version-control/
Однако есть сайты, которые отображают, если клиентский браузер разрешает SSL3-соединения, например:
После некоторого анализа я пришел к выводу, что они оба используют один и тот же подход, чтобы проверить, поддерживает ли браузер клиента SSL3. Они настроили веб-сервер, который поддерживает только соединения SSL3 (для ssllabs он развернут на https://www.ssllabs.com:10300/ и для zmap на https://ssl3.zmap.io/sslv3test.js), а затем они выдают запрос от клиентского браузера (с использованием JavaScript) к этим URL-адресам, и если соединение прерывается, они знают, что этот SSL3 не включен в браузере. Если они получают ответ 200, они знают, что браузер поддерживает SSL3.