Vulnerabilità di rinegoziazione SSL TLS: situazione attuale nei client

12

Informazioni sul problema della rinegoziazione SSL CVE-2009-3555 si sa che i server che supportano il vecchio tipo di rinegoziazione sono vulnerabili all'iniezione di dati. Abbiamo anche strumenti per testarli ( openssl s_client e laboratori Qualsys SSL ).

Ma qual è la situazione con i clienti? Dopo aver controllato il sito collegamento usando pochi browser, sembrerebbe che gli unici due browser che hanno risolto questo problema siano Firefox (dal 3.5.9 e 3.6. 2) e Opera (dalle 11.00 o 10.50?).

I browser che sono ancora vulnerabili in base al sito sono:

  • Chrome 9.0.597.16
  • Chrome 12.0.742.124 (!)
  • Chrome 13.0.782.56 beta
  • Chrome 14.0.825.0 dev
  • Internet Explorer 9 (!)
  • Konqueror 4.6.3

Questo test è affidabile? O la situazione è davvero così triste?

Modifica: C'è un modo per usare openssl s_server per testare la vulnerabilità del client?

    
posta Hubert Kario 21.07.2011 - 01:27
fonte

1 risposta

4

Tutte le versioni correnti dei principali browser (IE / FF / Chrome) sono correntemente aggiornate con la correzione per la rinegoziazione sicura.

Il sito ssltls.de ha alcuni problemi a quanto pare, dato che ci sono andato usando diversi browser, diverse connessioni di rete e ho ottenuto risultati incoerenti. Wireshark mostra i browser che inviano l'estensione e il server che risponde ad esso, quindi sembra che il test possa essere migliorato per rilevare meglio l'estensione.

    
risposta data 21.07.2011 - 18:16
fonte

Leggi altre domande sui tag