Poodle - possibile eseguire il downgrade del protocollo se SSLv3 è disabilitato ma sono ancora abilitati i cifrari SSLv3?

2

Il mio titolo riassume molto. Se ho:

Un server con il protocollo SSLv3 disabilitato MA ha ancora crittografati SSLv3 abilitati.

Significa che può ancora verificarsi un attacco di downgrade del protocollo?

    
posta user53029 17.10.2014 - 13:25
fonte

1 risposta

25

Se il tuo server non supporta SSLv3, allora non supporta SSLv3 . Gli "attacchi di downgrade del protocollo" sono metodi per forzare un client e un server a utilizzare una versione di protocollo che entrambi supportano anche se entrambi conoscono almeno una versione più recente che avrebbero voluto utilizzare, data la scelta .

Anecdote: sono francese. Nel 2005, stavo camminando per le strade di New York (5a strada, penso); Ero lì per un congresso. A pochi passi da me, vedo due turisti che parlano insieme e parlano in francese. Due minuti e tre blocchi dopo, uno di loro mi ha notato e (in modo cruciale) che stavo gestendo una mappa. Quindi decide di farmi una domanda perché erano un po 'persi. Poi mi parla in inglese . È comprensibile: a New York, l'inglese è il "linguaggio base". Quel ragazzo conosceva due versioni del protocollo (quello inglese e quello francese) e ovviamente preferiva quella francese (poiché era quello che stava usando con sua moglie). Fortunatamente, ho sfruttato la mia conoscenza precedente (che conosceva il francese) e abbiamo continuato la conversazione in francese.

Quindi è così. Un attacco di downgrade del protocollo è quando si organizzano due francesi per parlare in inglese impedendo loro di rendersi conto che entrambi conoscono il francese. Tuttavia, ciò può accadere solo perché entrambi accettano di parlare inglese. Se uno di loro disabilita il protocollo "inglese" (perché si rifiuta di parlare inglese, o semplicemente non lo sa, o conosce solo la variante completamente inintelligibile di inglese del texano), allora ovviamente non parleranno affatto l'inglese , attacco o nessun attacco.

    
risposta data 17.10.2014 - 14:26
fonte

Leggi altre domande sui tag