Включен ли WCF при атаке FREAK?

Question

Существует новая атака, названная так: FREAK

Включен ли WCF из-за атаки FREAK?

Как я понял из this question, нет способа, как программно указать разрешенный шифр в WCF.

Answer 1

Вам нужно три вещей для ИГРЫ работы:

• сервера, что позволяет «слабый» (экспорт) Шифр ​​люкс просит
• уязвимого клиента, который позволяет «слабые» шифры ответов люкса из-за OpenSSL/Secure Transport ошибка
• Люди в середине, например, общественная точка доступа или жулик машины на ваших, ваш провайдер или сети сервера

Из статьи вы связаны между собой:

На данный момент, как полагают, не были затронуты конечные устройства Windows и Linux.

Так что если вы позвоните клиенту Android или Apple прямо на сайт HTTPS на любом сервере, который позволяет «экспортировать» cihper-пакеты, эти клиенты уязвимы.

Если на этом сайте запущена служба WCF, доступная по HTTP (BasicHttp/SOAP 1.1, WsHttp/SOAP 1.2), то да, ваша служба WCF уязвима. Это означает, что клиент может видеть то, что сервер не отправил, и что человек в середине может читать весь трафик, который обменивается сервером и клиентом.