Лучше включить или отключить SSL_OP_DONT_INSERT_EMPTY_FRAGMENTS?
Я не знаю о SSMTP, но самые почтовые агенты принимают свои значения полного имени по умолчанию от поля имени в /etc/passwd. Вы могли бы попытаться изменить его для инициирующего пользователя, использующего passwd -f или вручную редактируя файл для ввода имен. Это обычно - 5-е поле в файле.
Если ваша цель - быть совместимой с PCI не создавая беспорядка для себя к черту атаку BEAST .
Серьезно, каждый современный браузер работает с BEAST уже лет . Либо заявите, что это не проблема в документации по политике, либо, если ваши аудиторы - идиоты, займут позицию, что, если кто-то использует браузер, восприимчивый к BEAST, вы просто откажете им в доступе к своему сайту и дадите им указание обновить их паршивую версию, устаревший, небезопасный браузер (и пусть ваша команда разработчиков приложений реализует это через обнаружение браузера).
Следующим лучшим средством защиты, помимо «к черту ЗВЕРЯ», является отключение TLS / 1.0 и требование, чтобы все клиенты использовали TLS / 1.1 или выше. (На самом деле это вариант «К черту ЗВЕРЯ», который требует прямого отказа общаться с любым браузером, достаточно дерьмовым, чтобы быть уязвимым).
или если ваши аудиторы идиоты занимают позицию, что если кто-то использует браузер, восприимчивый к BEAST, вы просто откажете им в доступе к вашему сайту и дадите им указание обновить их паршивый, устаревший, небезопасный браузер (и иметь свой команда разработчиков приложений реализует это через обнаружение браузера).
Следующим лучшим средством защиты, помимо "к черту ЗВЕРЯ", является отключение TLS / 1.0 и требование, чтобы все клиенты использовали TLS / 1.1 или выше. (На самом деле это вариант «К черту ЗВЕРЯ», который требует прямого отказа общаться с любым браузером, достаточно дерьмовым, чтобы быть уязвимым).
или если ваши аудиторы идиоты занимают позицию, что если кто-то использует браузер, восприимчивый к BEAST, вы просто откажете им в доступе к вашему сайту и дадите им указание обновить их паршивый, устаревший, небезопасный браузер (и иметь свой команда разработчиков приложений реализует это через обнаружение браузера).
Следующим лучшим средством защиты, помимо «к черту ЗВЕРЯ», является отключение TLS / 1.0 и требование, чтобы все клиенты использовали TLS / 1.1 или выше. (На самом деле это вариант «К черту ЗВЕРЯ», который требует прямого отказа общаться с любым браузером, достаточно дерьмовым, чтобы быть уязвимым).
- отключить TLS / 1.0 и потребовать, чтобы все клиенты использовали TLS / 1.1 или выше. (На самом деле это вариант «К черту ЗВЕРЯ», который требует прямого отказа общаться с любым браузером, достаточно дерьмовым, чтобы быть уязвимым).
- отключить TLS / 1.0 и потребовать, чтобы все клиенты использовали TLS / 1.1 или выше. (На самом деле это вариант «К черту ЗВЕРЯ», который требует прямого отказа общаться с любым браузером, достаточно дерьмовым, чтобы быть уязвимым).
Нарушение совместимости для людей с плохой безопасностью - это единственный способ заставить их обновить.
Если вы все еще не хотите этого делать, вы можете смягчить проблему , отключив шифры, которые восприимчивы к BEAST , но это имеет другие (неприятные) последствия для безопасности , на которые PCI в своей бесконечной близорукости не обращает внимания
.
Вы закроете «дыру в безопасности» (кавычки, потому что она довольно хорошо обойдена), чтобы открыть дыру (потенциальный вектор для злоумышленников, чтобы скомпрометировать ваш сайт в реальном мире, без хороший компенсирующий контроль, который есть у BEAST).