而在Rizzo的邮件发出几天之后，这一时间就被缩减为10分钟内。

"BEAST如同一个加密的特洛伊木马攻击者将一些JavaScript放入浏览器中，JavaScript与网络检漏器一起攻击你的HTTP链接，"独立安全研究员TrevorPerrin在其邮件中说。"如果这一攻击与宣称的一样速度快且影响广，那么它就肯定是威胁。"

Mozilla和OpenSSL表示这很糟糕

Duong和Rizzo称，对BEAST漏洞的利用会波及所有使用TLS1.0的应用，这样攻击者就可以利用此技巧监视即时通讯中发送的消息以及VPN程序。

安全公司Qualys对前一百万互联网地址使用的SSL产品进行了分析，发现尽管TLS1.1早在2006年就已推出，而且不会被BEAST选定的纯文本攻击影响，但是所有SSL连接都依赖于TLS1.0.

用在MozillaFirefox和GoogleChrome浏览器中部署SSL以及几百万网站用来部署TLS的开源代码库OpenSSL的网络安全服务数据包是罪魁祸首。这两种工具包都没率先提供最新的TLS版本。

Mozilla和其他保留OpenSSL还不需要部署TLS1.2，但是微软的部署稍好一些。微软的IE浏览器和IIS网络服务器中使用了安全的TLS版本，只是不是默认设置。Opera保留了默认部署TLS1.2的浏览器版本。

Qualys工程总监IvanRistic称对TLS1.1和1.2版本的支持几乎不存在。

曾在八月黑帽大会上展示过自己发现的Ristic发现了其他证据证明网站通常会推迟SSL漏洞更新。他得分析指出有35%的网站不久前才为2009年9月就发现的TLS漏洞，而攻击者可能利用这个漏洞将文本注入两个SSL端点之间传输的加密数据中。

Root实验室首席安全顾问NateLawson称，研究指出升级TLS不是件容易的事情，主要是因为几乎每个修补都会影响到一些广泛使用的应用或技术。最近添加到Chrome中的一项技术就显着减少了网站与终端用户间建立加密连接的时间。

Duong和Rizzo认为还有更多例子

"实际上，我们从五月初就开始与浏览器和SSL供应商接触，每个推荐的补丁与现有SSL应用多不兼容，"Duong写道。"阻止人们更新的原因是许多网站和浏览器仅支持SSL3.0和TLS1.0.如果有人将其网站完全升级到1.1或1.2，那就会丧失很多客户。"

(责任编辑：安博涛)