Vulnerabilità del POODLE nei principali social network

Naviga le tue risposte
1

Il social networking è una pietra angolare per la maggior parte della nostra vita quotidiana, sia che comunichi con gli amici, che condivida foto o che usi il social network per la pubblicità e la promozione aziendale. Mentre leggo su questa complicanza appena scoperta. È evidente che i siti Web utilizzano un intervallo di certificati di tipo SSL / TLS. Se la connessione a uno fallisce, i browser sono equipaggiati per un protocollo fallback, che utilizzerà un certificato alternativo per la crittografia. Ho trovato questo pezzo di testo:

Any website that supports SSLv3 is vulnerable to POODLE, even if it also supports more recent versions of TLS. In particular, these servers are subject to a downgrade attack, in which the attacker tricks the browser into connecting with SSLv3. This relies on a behavior of browsers called insecure fallback, where browsers attempt to negotiate lower versions of TLS or SSL when connections fail.

Source

Con questo in mente. Dal momento che questo è stato reso pubblico affermando che SSLv3 non è sicuro, attirerà gli utenti più malintenzionati a sfruttarlo (tonnellate in più rispetto al passato). Il che fa sorgere la domanda:

Nel tempo necessario ai principali siti Web e browser per disattivare / disattivare SSLv3, attualmente (giorno 1 della versione pubblica della vulnerabilità), quanto sono a rischio i siti Web attuali di social network come Twitter e Facebook. che attualmente utilizzano TLS 1.2, Twitter emesso da Symantic e Facebook emesso da Digicert, con le configurazioni del server (per ipotesi) per ricorrere a qualsiasi metodo di crittografia che non sia TLS1.0, ma SSLv1 potrebbe essere un alternativa a non essere completamente morto?

    
posta Daryl Gill 16.10.2014 - 00:51
fonte

2 risposte

4

Alcune parti della tua domanda devono essere chiarite. La crittografia SSL / TLS si basa sulle suite di crittografia supportate dal client e dal server. Non i certificati rilasciati su ciascun sito di social network. I certificati emessi non incidono sulla vulnerabilità di un sito web in POODLE.

Il fallback di un'altra versione SSL viene eseguito solo se entrambe le parti non sono d'accordo su una suite di crittografia. SSLv1 non è mai stato rilasciato. L'unico browser che conosco che supporti SSLv2 è IE (almeno fino a IE9 era vero). Queste versioni del protocollo dovrebbero ancora essere supportate dal server. I server hanno il supporto SSLv2, ma raramente sono abilitati per impostazione predefinita.

Tutto ciò detto, i siti di social networking non sono "a rischio". I clienti sono a rischio perché sono le loro credenziali che possono essere decifrate. Facebook distribuirà patch / aggiornamenti ai propri server in modo che SSLv3 sia disabilitato per proteggere i propri utenti, ma i server stessi non vengono attivamente compromessi.

    
risposta data 16.10.2014 - 14:05
fonte
1

I siti Web stessi non sono a rischio. I dati dell'utente mentre è sulla connessione del sito Web sono a rischio. Ciò è particolarmente vero per le persone su Wi-Fi pubblico dove la probabilità che un utente malintenzionato abbia il controllo del traffico dell'utente è molto più alta.

È solo nel caso in cui un utente malintenzionato eserciti il controllo sulla tua connessione che i tuoi dati sono a rischio. I governi, gli ISP o qualcun altro che ha il controllo parziale della propria connessione (proxy, VPN, amministratore di rete, hotspot dannoso) sono i potenziali sfruttatori del bug del barboncino.

I siti possono essere testati per il loro supporto SSL 3.0 al link

Dichiarazione di non responsabilità: ho prodotto questo strumento.

    
risposta data 16.10.2014 - 01:14
fonte

Leggi altre domande sui tag

Indirizzo IP del computer utilizzato da un altro nella rete chiusa? Si tratta di una grave vulnerabilità? Divulgazione di informazioni semi