Sto tentando di accedere alla mia posta yahoo, ma inutilmente. ho scoperto di recente dopo aver monitorato del traffico che il server di muto yahoo non invia una risposta close_notify ma agisce in modo ignorante e chiude la sessione ssl. so che se lo faccio potrei essere vulnerabile agli attacchi di troncamento, ma lo disabiliterò non appena importerò tutto quello che ho da yahoo e poi cancellerò il mio account yahoo. Voglio bypassare la verifica close_notify in firefox (o iceweasel come vuoi chiamarlo). grazie.
citerò anche un commento che è stato fatto nel pannello di supporto pidgin. è qui sotto:
Both GnuTLS and CDSA (Adium's SSL plugin) check whether a TLS connection has been closed properly by checking if the server sent a
close_notify
alert first. [https://bugzilla.mozilla.org/show_bug.cgi?id=508698 NSS doesn't]. If that alert wasn't sent, GnuTLS and CDSA consider it a fatal error, which for the HTTPS handler means the response is completely discarded. That's what's happening here with Yahoo: their HTTPS server closes the connection without sendingclose_notify
first.The danger of not checking for that alert is that any MitM may cause a response to be truncated, yet we'd be unable to tell that it is.
Is it really an error condition libpurple should consider fatal? I'm not entirely sure.