Benvenuti sul nostro
BLOG Informativo HOSTING
News, Faq, Guide
Payday loans
www.

«
»


Dopo Heartbleed e Shellshock è la volta di Poodle

Inserito il Oct 17, 2014 Condividi

Annata interessante per le sicurezze dei server, della rete, delle cose che sulla carta dovrebbero assicurare sicurezza per le transazioni crittografate e invece proprio
queste sono state messe sotto attacco ed usate dagli idioti del mondo.
Forse fu proprio questo bug a dar modo all’idiota di turno di riuscire a rubare a GMAIL 25.000.000 di dati (logine  password) e mettere su un forum russo…lo sapevate questo?
La notizia del nuovo BUG arriva dal Blog di Google.     Gli esperti spiegano che nonostante il protocollo SSL 3.0 (questo il nome della versione incriminata) abbia già 15 anni e non sia da tempo il principale standard di criptazione, è ancora supportato sia dai siti che dai browser, dove necessita di essere disabilitato. Al momento lo standard attuale e più sicuro di crittografia è il TLS. In caso però non riesca una connessione con un server Https – a differenza dell’Http indica una comunicazione crittografata – il sistema ritenta di connettersi usando versioni sempre più vecchie del protocollo, arrivando fino a quella incriminata.
Vista la vulnerabilità la falla può essere sfruttata per accedere ad informazioni crittografate, ad esempio una transazione bancaria.

Noi usavamo già TLS il problema è più dei browser che non supportano TLS come Firefox il quale andava a cercare una versione più datata…Adesso SSLV3 andrà a morire da quanto sembra pertanto eventualmente cambiate browser se FireFox non apre un sito con ssl

Come fare per difendersi? Google assicura che già nei prossimi mesi eliminerà il supporto a questo protocollo e nel frattempo spiega la procedura per disabilitarlo manualmente su Chrome. La disabilitazione è possibile anche su Explorer di Microsoft. E pure Mozilla ha pubblicato una nota in cui spiega che Firefox usa il protocollo SSL 3.0 solo nello 0,3% delle connessioni Https e che il supporto sarà eliminato nella prossima versione in arrivo il 25 novembre.

Il problema adesso nasce che non essendoci il supporto SSLv3 sui server (chi li stà aggiornando), chi usa un browser per connettersi a webmail, siti con ssl, questi non li vedrà e la colpa a chi andrà? immaginiamolo!

I browser belli belli ti dicono che il certificato è valido ma ciò che stà sotto al medesimo, come abbiamo sempre detto, è quello che conta.  I browser danno valido i certifcati non in base alla crittografia bensì alla commerciabilità di quel certificato e non auto signed…

Al momento abbiamo a seguito info da Cpanel  operato per tutto ciò che ci era possibile (smtp, imap, apache). Siamo in attesa di info ulteriori ufficiali.

Buona continuazione di anno…

ps: cerchiamo di tenere aggiornati gli antivirus, i pc, tutto e verifichiamo i pc….e smettiamola di scaricare di tutto…

Inserisci Commento/Domanda/Risposta

You must be logged in to post a comment.