Informazioni sul problema della rinegoziazione SSL CVE-2009-3555 si sa che i server che supportano il vecchio tipo di rinegoziazione sono vulnerabili all'iniezione di dati. Abbiamo anche strumenti per testarli ( openssl s_client
e laboratori Qualsys SSL ).
Ma qual è la situazione con i clienti? Dopo aver controllato il sito collegamento usando pochi browser, sembrerebbe che gli unici due browser che hanno risolto questo problema siano Firefox (dal 3.5.9 e 3.6. 2) e Opera (dalle 11.00 o 10.50?).
I browser che sono ancora vulnerabili in base al sito sono:
- Chrome 9.0.597.16
- Chrome 12.0.742.124 (!)
- Chrome 13.0.782.56 beta
- Chrome 14.0.825.0 dev
- Internet Explorer 9 (!)
- Konqueror 4.6.3
Questo test è affidabile? O la situazione è davvero così triste?
Modifica:
C'è un modo per usare openssl s_server
per testare la vulnerabilità del client?