Ho sempre pensato che se un server supporta i cifrari SSLv3 e CBC, allora è vulnerabile a POODLE. Ma sembra che non sia il caso.
Ad esempio, per Google.com, SSL Labs afferma che il L'attacco SSL POODLE è mitigato anche se supporta cifrari CBC con SSLv3. In seguito a ulteriori indagini, ho scoperto che se SSL Labs rileva che un server preferisce RC4 su CBC (SSL 3: 0x5 viene menzionato accanto al risultato SSL POODLE).
Ora MITM può fornire solo cifrari CBC a Google.com, quindi sceglierà solo CBC (fuori da quello che fornisco), e sarà comunque vulnerabile a POODLE. Ma allora perché SSL Labs dice che non lo è?