SSL è davvero insicuro su gran parte del Web? Questo rapporto sembra suggerire così [duplicato]

2

L'articolo su Wikipedia su TLS ha un elenco tremendamente lungo di attacchi contro SSL. Una tabella su quell'articolo mostra un sondaggio a partire da settembre 2015. Se guardi a quel sondaggio, mostra che quasi i due terzi di una selezione dei siti più popolari online sono insicuri.

Presumo che l'implementazione di questi attacchi sia tremendamente difficile e complessa, ma sembra ancora un po 'strano che circa il 66% dei siti web abbia conosciuto carenze di sicurezza e il 90% sia suscettibile all'attacco BEAST, noto dal 2011, se usato con un vecchio browser.

Questo mi porta fondamentalmente ad avere fede zero in SSL. È troppo allarmista? Questo sondaggio in qualche modo dipinge un'immagine peggiore di quanto sia in realtà? TLS / SSL sembra un concetto veramente rotto se viene ripetutamente aggirato da un numero enorme di angoli?

    
posta Vayeate 28.12.2015 - 04:18
fonte

1 risposta

2

Is this overly alarmist?

Ad un certo punto, sì, è allarmista. Certamente meglio essere preoccupati e preoccuparsi di proteggere le comunicazioni però.

Does that survey somehow paint a picture worse than it really is?

Potresti non aver compreso abbastanza i tipi di attacchi o requisiti per avviarne uno, causando il leggero salto di sfiducia. Ad esempio, non devi menzionare che questo sondaggio riflette le configurazioni del proprietario del sito e non rappresentativo dei pacchetti TLS / SSL attuali o aggiornati come l'ultimo di openssl.

Does TLS/SSL seem like a really broken concept if it's repeatedly circumvented from a tremendous number of angles?

No, il simbolo di un sistema strong deve essere in grado di trovare e correggere gli errori. Avere un piano per applicare patch o attenuare i percorsi di aggiornamento supportati e una vasta comunità che fornisce assistenza con competenze e mezzi monetari. Prendi il tuo salto ai numeri degli attacchi di animali, potresti facilmente vantarti di quei bassi di cuore che stanno bassi e di avere una sicurezza opposta. Anche openssl e altri pacchetti di implementazione non sono da biasimare qui, questo sondaggio dipinge l'immagine di quali sono le configurazioni del proprietario del sito e non lo stato delle funzionalità del pacchetto SSL / TLS che sono ben mantenute e aggiornate.

    
risposta data 28.12.2015 - 04:37
fonte

Leggi altre domande sui tag