【評論主題】【題組】27. 【題組 2】Windows OS 重大漏洞,且被勒索集團開採成為武器,基於安全維運需要,必須進行漏洞修補與更新,所以必須掌握相關漏洞資訊與補救措施,或取得修補程式。於是身為資安工程師必
【評論內容】
公共漏洞和暴露(英語:CVE, Common Vulnerabilities and Exposures)又稱通用漏洞披露、常見漏洞與披露,是一個與資訊安全有關的資料庫,收集各種資安弱點及漏洞並給予編號以便於公眾查閱。此資料庫現由美國非營利組織MITRE所屬的National Cybersecurity FFRDC所營運維護[1] 。
CVE對每一個漏洞都賦予一個專屬的編號,格式如下:
CVE-YYYY-NNNNCVE為固定的前綴字,YYYY為西元紀年,NNNN為流水編號。NNNN原則上為四位數字,不足四位時前面補0。從2014年開始,必要時可編到五位數或更多位數。由於CVE有很多個編號機構,每個編號機構使用的號段並不相同,因此NNNN可能並不連續。
【評論主題】【題組】27. 【題組 2】Windows OS 重大漏洞,且被勒索集團開採成為武器,基於安全維運需要,必須進行漏洞修補與更新,所以必須掌握相關漏洞資訊與補救措施,或取得修補程式。於是身為資安工程師必
【評論內容】
公共漏洞和暴露(英語:CVE, Common Vulnerabilities and Exposures)又稱通用漏洞披露、常見漏洞與披露,是一個與資訊安全有關的資料庫,收集各種資安弱點及漏洞並給予編號以便於公眾查閱。此資料庫現由美國非營利組織MITRE所屬的National Cybersecurity FFRDC所營運維護[1] 。
CVE對每一個漏洞都賦予一個專屬的編號,格式如下:
CVE-YYYY-NNNNCVE為固定的前綴字,YYYY為西元紀年,NNNN為流水編號。NNNN原則上為四位數字,不足四位時前面補0。從2014年開始,必要時可編到五位數或更多位數。由於CVE有很多個編號機構,每個編號機構使用的號段並不相同,因此NNNN可能並不連續。
【評論主題】12. 關於 SSL 與 TLS,下列敘述何者較「不」正確?(A) TLS 協定的發行時間較 SSL 晚(B) 兩者都是加密協議,用於從客戶端到伺服器、電腦或應用程式數據傳輸的加密和驗證(C) HTT
【評論內容】
通常所說的 HTTPS 協議,說白了就是 “HTTP 協議” 和 “SSL/TLS 協定” 的組合。SSL 是 “Secure Sockets Layer” 的縮寫,中文意思為“安全套接層”,而 TLS 則是標準化之後的 SSL。
TLS(Transport Layer Security Protocol,傳輸層安全協定)主要目的是提供隱私和資料兩個通信應用之間的完整性。該協議由兩層組成:TLS 記錄協定(TLS Record)和 TLS 握手協議(TLS Handshake)。TLS目前最高才到TLS1.3,根本還沒有TLS 3.0。
目前行業正處於 TLS 1.2 取代 TLS 1/1.1 的過渡時期,將來會有越來越多的互聯網安全企業啟用 TLS 1.2。它引入了 SHA-256 雜湊演算法,摒棄了 SHA-1,對增強資料完整性有著顯著優勢。
TLS 1.3 是時隔九年對 TLS 1.2 等之前版本的新升級,也是迄今為止改動最大的一次。針對目前已知的安全威脅,IETF(Internet Engineering Task Force,互聯網工程任務組) 正在制定 TLS 1.3 的新標準,使其有望成為有史以來最安全,但也最複雜的 TLS 協議。
TLS 1.3 與之前的協議有較大差異,主要在於:
相比過去的的版本,引入了新的金鑰協商機制 — PSK支持 0-RTT 資料傳輸,在建立連接時節省了往返時間廢棄了 3DES、RC4、AES-CBC 等加密組件,廢棄了 SHA1、MD5 等雜湊演算法ServerHello 之後的所有握手消息採取了加密操作,可見明文大大減少不再允許對加密報文進行壓縮、不再允許雙方發起重協商DSA 證書不再允許在 TLS 1.3 中使用【評論主題】12. 關於 SSL 與 TLS,下列敘述何者較「不」正確?(A) TLS 協定的發行時間較 SSL 晚(B) 兩者都是加密協議,用於從客戶端到伺服器、電腦或應用程式數據傳輸的加密和驗證(C) HTT
【評論內容】
通常所說的 HTTPS 協議,說白了就是 “HTTP 協議” 和 “SSL/TLS 協定” 的組合。SSL 是 “Secure Sockets Layer” 的縮寫,中文意思為“安全套接層”,而 TLS 則是標準化之後的 SSL。
TLS(Transport Layer Security Protocol,傳輸層安全協定)主要目的是提供隱私和資料兩個通信應用之間的完整性。該協議由兩層組成:TLS 記錄協定(TLS Record)和 TLS 握手協議(TLS Handshake)。TLS目前最高才到TLS1.3,根本還沒有TLS 3.0。
目前行業正處於 TLS 1.2 取代 TLS 1/1.1 的過渡時期,將來會有越來越多的互聯網安全企業啟用 TLS 1.2。它引入了 SHA-256 雜湊演算法,摒棄了 SHA-1,對增強資料完整性有著顯著優勢。
TLS 1.3 是時隔九年對 TLS 1.2 等之前版本的新升級,也是迄今為止改動最大的一次。針對目前已知的安全威脅,IETF(Internet Engineering Task Force,互聯網工程任務組) 正在制定 TLS 1.3 的新標準,使其有望成為有史以來最安全,但也最複雜的 TLS 協議。
TLS 1.3 與之前的協議有較大差異,主要在於:
相比過去的的版本,引入了新的金鑰協商機制 — PSK支持 0-RTT 資料傳輸,在建立連接時節省了往返時間廢棄了 3DES、RC4、AES-CBC 等加密組件,廢棄了 SHA1、MD5 等雜湊演算法ServerHello 之後的所有握手消息採取了加密操作,可見明文大大減少不再允許對加密報文進行壓縮、不再允許雙方發起重協商DSA 證書不再允許在 TLS 1.3 中使用