Posso identificare in modo affidabile i dispositivi Apple che non hanno corretto la vulnerabilità gotofail in base alla stringa di user-agent?

1

Il titolo lo dice praticamente. Le patch di sicurezza per risolvere il problema di sicurezza gotofail in più prodotti Apple che utilizzano SSL modificano la stringa User Agent per i rispettivi sistemi? E, naturalmente, qual è il punto di demarcazione tra i sistemi con patch ei sistemi senza patch con il numero di build nella stringa UA? Non ho iDevices in giro per testare empiricamente questo, quindi spero che alcuni dei professionisti qui conoscano la risposta. Idealmente, mi piacerebbe essere in grado di mitigare il rischio che gli utenti colpiscano un server OWA con dispositivi privi di patch su reti wireless pubbliche rifiutando agenti utente non aggiornati.

Sì, lo so che non è infallibile, ma sto cercando di proteggere da utenti ambivalenti, non maliziosi.

    
posta Brandon Franklin 28.02.2014 - 02:51
fonte

1 risposta

1

La stringa user agent ti permetterà di selezionare i possibili candidati browser; solo selezionare i browser su determinati sistemi operativi può essere vulnerabili. Ma non è in grado di rilevare se il sistema operativo è stato corretto o meno, dal momento che quel dettaglio non è riportato nella stringa UA.

Un sito è stato configurato per permetterti di testare il tuo browser da solo:

link

Questo controllo tenta di caricare una risorsa utilizzando una chiave che non corrisponde al certificato. Se la risorsa viene caricata senza preavviso, il browser è vulnerabile. Se fallisce, il browser ha rilevato correttamente la mancata corrispondenza.

    
risposta data 28.02.2014 - 05:17
fonte

Leggi altre domande sui tag