Apple ha rilasciato l' Security Update 2014-005, disabilitando il Modalità CBC con SSLv3:

Security Update 2014-005

• Secure Transport

Available for: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5

Impact: An attacker may be able to decrypt data protected by SSL

Description: There are known attacks on the confidentiality of SSL 3.0 when a cipher suite uses a block cipher in CBC mode. An attacker could force the use of SSL 3.0, even when the server would support a better TLS version, by blocking TLS 1.0 and higher connection attempts. This issue was addressed by disabling CBC cipher suites when TLS connection attempts fail.

CVE-ID

CVE-2014-3566: Bodo Moeller, Thai Duong, and Krzysztof Kotowicz of Google Security Team

(I punti salienti sono i miei)

Pertanto, anche se Safari supporta ancora SSLv3, non è vulnerabile al attacco POODLE.

Perché sei al sicuro contro Poodle

Il Poodle Attack è contro un tipo di cifratura molto specifico che in combinazione con SSLv3.0 porterebbe a un vettore di attacco. Evitare quei tipi di cifratura vulnerabili ti impedisce di essere attaccato con quel vettore. Quel vettore non è più un angolo di attacco, quindi puoi tranquillamente usare SSLv3.0 senza preoccuparti (si spera). Tuttavia esistono versioni più nuove e più difficili da crack della tecnologia Secure Socket Layer (spesso chiamate TLS ) che sono preferibili e dovrebbero essere utilizzate al loro posto.

Perché dovresti usare TLS

Poiché nessun altro attacco esiste realmente contro SSLv3.0 se non si usano i codici a blocchi, per il momento è ancora considerato "abbastanza sicuro". Il problema è che è "abbastanza sicuro". Questo è vero per tutte le tecnologie SSL al momento (stanno sperimentando algoritmi più sicuri mentre parliamo) poiché " con abbastanza soldi e tempo, la sicurezza è solo un ritardo ". Per questo motivo, si desidera il tempo necessario per interrompere tale sicurezza affinché sia il più lungo possibile se contiene informazioni riservate. A tal fine, dovrebbe utilizzare algoritmi di cifratura e scambio di chiavi più avanzati . Questo non significa che non dovrebbe siti utente che supportano solo SSLv3.0 ma che dovresti passare a TLS , possibilmente all'ultima versione disponibile se possibile e con una buona suite di crittografia . Questi algoritmi e sistemi impiegano molto più a lungo per craccare, e in quanto tali sono molto più "abbastanza sicuri".

Che cosa fare se un sito web che visiti non supporta TLS

Se un sito web che frequenti non supporta TLS, contatta il webmaster e chiedi perché. Se non hanno intenzione di aggiornare, considera di eliminare gradualmente quel sito dalla tua lista frequente entro il prossimo decennio. Esistono strumenti online per verificare la forza percentuale dei siti Web di SSL per assicurarsi che siano sicuri. Se il sito è abbastanza sicuro per il futuro prevedibile, non preoccuparti! Se non lo è, preoccupati un po '. Se il voto è veramente brutto, ti preoccupi molto e smetti di usare il sito al più presto dopo aver rimosso le tue informazioni il più possibile.

Altre cose che fai per proteggerti

• Segui gli inquilini di base della sicurezza
• Evita di utilizzare i sistemi di accesso su siti sensibili da punti di accesso Wi-Fi pubblici (% attacchi diMan In The Middle sono di gran lunga peggiori di Poodle
• Mantieni la tua workstation fisicamente sicura

Seguendo questi suggerimenti dovresti essere sicuro su quasi tutti i siti web che visiti (supponendo che stiano utilizzando una sicurezza sufficiente).