Hallo zusammen,
ich habe den Artikel [0] zu ALPACA ("Application Layer Protocols Allowing Cross-Protocol Attacks") mal zum Anlaß genommen, ein kleines Skript zu schreiben.
Dieses prüft aber eigentlich nur, ob die empfohlene TLS extension Application Layer Protocol Negotiation (ALPN) aktiv ist oder nicht.
SNI habe ich zudem ausgeklammert.
Das Skript analysiert also nicht ALPACA, dazu fehlt bspw noch die Prüfung auf notwendiges SMTP/FTP/... sondern lediglich eine Empfehlung
Dies habe ich mit Blick auf den von mir gesetzen Zeitrahmen (noch?) nicht implementiert.
Verbesserte/korrigierte Versionen bitte gerne wieder zurück in diese Runde.
Also fröhliches Testen der eigenen (!) Web-Server bzgl. ALPN.
VG
Bernd
[0] https://www.heise.de/news/ALPACA-Attacke-Angreifer-koennten-mit-TLS-gesicher...
[1] https://alpaca-attack.com/