Лидеры форума

Эта уязвимость некретична, вернее кретична в старых браузерах, решается несколькими способами 1)Первый способ это отключение "Потенциально-уязвимого протокола" (TLS 1.0 и SSL 3.0) ssl_protocols TLSv1.2 TLSv1.1 TLSv1; МИНУС:Старые браузеры, типо-там IE могут неработать, поэтому лучше неотключать, а другой способ 2. 2)Включить директиву: ssl_prefer_server_ciphers on Указывает, чтобы при использовании протоколов SSLv3 и TLS серверные шифры были более приоритетны, чем клиентские. Тогда в теории проблема будет решена. 3)Третий способ тупо забить, почему, читайте описание этой атаки... Вкратце: Злоумышленнику нужно, что-бы постоянно какие-то данные к ниму поступали, если эксплуатировать эту атаку, то это может снизить время расшифровки, пример если один байт будет расшифровываться за 4-ре минуты, то 246 байт он не вспотеет расшифровывать, причём это нужно что-бы постоянно эти байты к ниму поступали... Короче что-то попахивает proof-on концептом ! (ИМХО) Или вот ещё условия для проведения атаки: 1.Атакующий должен иметь возможность прослушивать сетевые соединения, инициированные браузером жертвы; 2.У атакующего должна быть возможность внедрить агент в браузер жертвы; 3.Агент должен иметь возможность отправлять произвольные (более-менее) HTTPS-запросы; Реализовать это на практике мне кажется ну очень проблематично ! (ИМХО) Если есть другое мнение, или я что-то не понимаю, готов обсудить...