L'attacco "POODLE" è stato reso pubblico nell'ottobre 2014. Perché Safari supporta ancora SSL 3.0 dopo che POODLE ha mostrato essere insicuro?
Apple ha rilasciato l' Security Update 2014-005, disabilitando il Modalità CBC con SSLv3:
Security Update 2014-005
- Secure Transport
Available for: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5
Impact: An attacker may be able to decrypt data protected by SSL
Description: There are known attacks on the confidentiality of SSL 3.0 when a cipher suite uses a block cipher in CBC mode. An attacker could force the use of SSL 3.0, even when the server would support a better TLS version, by blocking TLS 1.0 and higher connection attempts. This issue was addressed by disabling CBC cipher suites when TLS connection attempts fail.
CVE-ID
CVE-2014-3566: Bodo Moeller, Thai Duong, and Krzysztof Kotowicz of Google Security Team
(I punti salienti sono i miei)
Pertanto, anche se Safari supporta ancora SSLv3, non è vulnerabile al attacco POODLE.
Poodle
Il Poodle Attack
è contro un tipo di cifratura molto specifico che in combinazione con SSLv3.0
porterebbe a un vettore di attacco. Evitare quei tipi di cifratura vulnerabili ti impedisce di essere attaccato con quel vettore. Quel vettore non è più un angolo di attacco, quindi puoi tranquillamente usare SSLv3.0
senza preoccuparti (si spera). Tuttavia esistono versioni più nuove e più difficili da crack della tecnologia Secure Socket Layer
(spesso chiamate TLS
) che sono preferibili e dovrebbero essere utilizzate al loro posto.
TLS
Poiché nessun altro attacco esiste realmente contro SSLv3.0
se non si usano i codici a blocchi, per il momento è ancora considerato "abbastanza sicuro". Il problema è che è "abbastanza sicuro". Questo è vero per tutte le tecnologie SSL
al momento (stanno sperimentando algoritmi più sicuri mentre parliamo) poiché " con abbastanza soldi e tempo, la sicurezza è solo un ritardo ". Per questo motivo, si desidera il tempo necessario per interrompere tale sicurezza affinché sia il più lungo possibile se contiene informazioni riservate. A tal fine, dovrebbe utilizzare algoritmi di cifratura e scambio di chiavi più avanzati . Questo non significa che non dovrebbe siti utente che supportano solo SSLv3.0
ma che dovresti passare a TLS
, possibilmente all'ultima versione disponibile se possibile e con una buona suite di crittografia . Questi algoritmi e sistemi impiegano molto più a lungo per craccare, e in quanto tali sono molto più "abbastanza sicuri".
TLS
Se un sito web che frequenti non supporta TLS, contatta il webmaster e chiedi perché. Se non hanno intenzione di aggiornare, considera di eliminare gradualmente quel sito dalla tua lista frequente entro il prossimo decennio. Esistono strumenti online per verificare la forza percentuale dei siti Web di SSL
per assicurarsi che siano sicuri. Se il sito è abbastanza sicuro per il futuro prevedibile, non preoccuparti! Se non lo è, preoccupati un po '. Se il voto è veramente brutto, ti preoccupi molto e smetti di usare il sito al più presto dopo aver rimosso le tue informazioni il più possibile.
Man In The Middle
sono di gran lunga peggiori di Poodle
Seguendo questi suggerimenti dovresti essere sicuro su quasi tutti i siti web che visiti (supponendo che stiano utilizzando una sicurezza sufficiente).
Leggi altre domande sui tag web-browser safari tls known-vulnerabilities safe-browsing-filter