Per favore, aggiungi TurboLab.it alle eccezioni del tuo Ad Blocker.
Siamo un progetto no-profit, e la pubblicità è indispensabile per pagare le spese. Grazie per il tuo "unblock"!
Per favore, aggiungi TurboLab.it alle eccezioni del tuo Ad Blocker.
Siamo un progetto no-profit, e la pubblicità è indispensabile per pagare le spese. Grazie per il tuo "unblock"!
Circa tredici giorni fa è stata segnalata pubblicamente la vulnerabilità POODLE che attacca l'implementazione della modalità di cifratura CBC del protocollo SSL 3. Per essere sfruttato, l'exploit richiede delle condizioni simili a quelle della vulnerabilità BEAST (MitM) ma permette di decifrare molto più velocemente di quest'ultima le informazioni riservate in transito sulla rete.
Per favore, aggiungi TurboLab.it alle eccezioni del tuo Ad Blocker.
Siamo un progetto no-profit, e la pubblicità è indispensabile per pagare le spese. Grazie per il tuo "unblock"!
Per capire se è fattibile disattivare del tutto SSL dobbiamo valutare quali browser supportino almeno TLSv1. Questa pagina di Wikipedia sembra un buon punto di partenza quando sarà il momento valutare il bug.
Edit: la versione breve della tabella è che Chrome e Firefox supportano TLSv1 fin dalla versione 1.0 e Opera dalla 5.0. IE, che è quello che più mi preoccupava, è ok già da IE 7 in poi, anche su WinXP.
Non ho trovato indicazioni chiare per il vecchio browser stock di Android, quindi procedo alla vecchia maniera: provando e vedendo cosa succede (
Edit2: la nostra configurazione era già sicura: SSLProtocol All -SSLv2 -SSLv3. Contando che, così, siamo già a posto in caso esca TLSv1.3, ho lasciato quella.
Uhmm, molto strano: SSL Labs dice che SSLv3 è ancora attivo... WTF?!?!?
Riapro il bug, ma poi vado a letto. Se hai suggerimenti...
Edit: Trovato l'errore di config (mancava un commento a SSLProtocol all -SSLv2 nel file di default sotto /etc/httpd/conf.d, che noi non usiamo). Bug ri-chiuso, SSL Labs felice e ora vado davvero a letto!!
Per favore, aggiungi TurboLab.it alle eccezioni del tuo Ad Blocker.
Siamo un progetto no-profit, e la pubblicità è indispensabile per pagare le spese. Grazie per il tuo "unblock"!
Per favore, aggiungi TurboLab.it alle eccezioni del tuo Ad Blocker.
Siamo un progetto no-profit, e la pubblicità è indispensabile per pagare le spese. Grazie per il tuo "unblock"!
Inserendo un messaggio, dichiari di aver letto e accettato il regolamento di partecipazione.
Nello specifico, sei consapevole che ti stai assumendo personalmente la totale responsabilità delle tue affermazioni, anche in sede civile e/o penale,
manlevando i gestori di questo sito da ogni coinvolgimento e/o pretesa di rivalsa.
Dichiari inoltre di essere consapevole che il messaggio sarà visibile pubblicamente, accetti di diffonderlo con licenza
CC BY-NC-SA 3.0 (con attribuzione a "TurboLab.it") e rinunci ad ogni forma di compensazione (economica o altro).
Rinunci inoltre esplicitamente a qualsiasi pretesa di cancellazione del messaggio.
Re: [Bug] Vulnerabilità POODLE (SSLv3)
(
