La vulnerabilità di POODLE è stata scoperta da Google a ottobre 2014 e, a differenza di Heartbleed, aveva una soluzione semplice: basta disabilitare SSL v3. Ora, la maggior parte dei siti Web ha disattivato SSL v3, ma per ironia della sorte Google lo supporta ancora. Qualche idea sul motivo per cui Google supporta ancora SSL v3?
Ho testato il nome di dominio in un sito web di tester di POODLE e mostra che Google è ancora vulnerabile ad esso. Qualche idea ragazzi?
Google promuove e, presumibilmente, implementa TLS Fallback SCSV , tramite il quale client e server si assicurano che se entrambi supportano TLS 1.0 o versioni successive, non non usano SSL 3.0; con tale estensione attiva, un utente malintenzionato non può (per quanto ne sappiamo) imporre un downgrade del protocollo.
In queste condizioni, se SSL 3.0 viene utilizzato per accedere al server di Google, questo sarà solo se il client non può davvero fare di meglio e, discutibilmente, un SSL 3.0 volatile, sebbene debole, è ancora molto meglio di nessun SSL a tutti.
Ovviamente, si potrebbe obiettare che il rifiuto di client che conoscono solo SSL 3.0 potrebbe forzare questi client a finalmente aggiornare i loro browser, e questo porterebbe a un mondo complessivamente migliore. Ma questo può anche irritare i proprietari dei suddetti browser non aggiornati, e rendere i clienti arrabbiati è, in generale, una cattiva pratica commerciale.
Leggi altre domande sui tag google tls vulnerability