Discussion:
Subject: Versione digest di ml@sikurezza.org issue 44 (168)
(too old to reply)
Fabio
2014-10-16 16:18:03 UTC
Permalink
A me non sembra così preoccupante. Se è vero dai dati che ho letto che
lo 0,65% dei siti usa SSLv3, di che stiamo parlando? Oltretutto dai
rumors creati fino ad oggi, credo e spero che molti già abbiano "patchato".

Il workaround per eliminare il problema è applicabile modificando un
config.

Quindi non richiede l'attesa di release particolari, di chissà quale
pacchetto. Parliamo di un protocollo in fase di dismissione che se fosse
eliminato non dovrebbe arrecare danni dal punto di vista della
compatibilità con i client.

Ci sono altri aspetti da considerare?

IMHO, i paragoni con heartbleed sono un tantino esagerati.
--
Fabio Natalucci
Ethical Hacker & IT Security Specialist
PGP key 0x1932A2A4
Fingerprint 4C27 053D 5D0A C7CD 01C9 9F2C 997B 3E44 1932 A2A4


________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
miniBill
2014-10-17 07:58:23 UTC
Permalink
Il problema non sono i siti che usano SSLv3 ma quelli che, tramite MiTM,
possono essere convinti a farlo.

Leonardo
A me non sembra così preoccupante. Se Ú vero dai dati che ho letto che
lo 0,65% dei siti usa SSLv3, di che stiamo parlando? Oltretutto dai
rumors creati fino ad oggi, credo e spero che molti già abbiano "patchato".
Il workaround per eliminare il problema Ú applicabile modificando un
config.
Quindi non richiede l'attesa di release particolari, di chissà quale
pacchetto. Parliamo di un protocollo in fase di dismissione che se fosse
eliminato non dovrebbe arrecare danni dal punto di vista della
compatibilità con i client.
Ci sono altri aspetti da considerare?
IMHO, i paragoni con heartbleed sono un tantino esagerati.
--
Fabio Natalucci
Ethical Hacker & IT Security Specialist
PGP key 0x1932A2A4
Fingerprint 4C27 053D 5D0A C7CD 01C9 9F2C 997B 3E44 1932 A2A4
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
Continue reading on narkive:
Loading...