Jump to content
Sign in to follow this  
Uno

SSL e recenti bug

Recommended Posts

Nessuno se ne è accorto o fate gli gnorri sperando che non se ne accorga troppa gente? :emoticons_dent2020:

 

Non ho sotto mano adesso l'articolo (appena ho tempo lo cerco) ma se non ricordo male ad un abbastanza recente convegno sulla sicurezza qualcuno ha dimostrato in diretta che è possibile bucare una comunicazione ssl con qualsiasi cifratura.

Stanno lavorando per metterci una toppa, non è un caso che potrebbe affliggere ogni comunicazione ssl ma comunque esiste il problema per quanto possa essere remoto.

Suppongo che le comunicazioni più a rischio siano quelle che passano per reti aziendali ma non ho dati in mano.

Appena posso guardo l'articolo e i riferimenti, in ogni caso datemi i vostri numeri di carta di credito direttamente, non fatemi fare fatica.... è quasi Natale siate buoni :emoticons_dent2020:

Share this post


Link to post
Share on other sites
Stasera a casa vedo l'articolo, ma da breve ricerca potrebbe essere questo il discorso Moxie Marlinspike >> software >> sslstrip

 

Non c'entra nulla. Quell'attacco parte con un Arp poisoning e poi sslstrip fa il resto (ha scoperto un po' l'acqua calda)

 

Credo invece che tu ti riferisca a CVE-2009-3555. Disabilitare la renegotiation non è sempre possibile, nel senso che causa problemi in certe applicazioni (apache compreso con configurazioni complesse.)

 

Proprio per questo, i principali vendors sono orientati ad aspettare un fix a livello protocollo.

Share this post


Link to post
Share on other sites

https://www.kb.cert.org/vuls/id/120541 questo era.

E qui ci sono degli aggiornamenti [TLS] MITM attack on delayed TLS-client auth through renegotiation

 

Mi pare di capire (correggetemi se sbaglio, lo avevo intravisto questo articolo e adesso ho leggiucchiato per dare info a voi) che il problema si presenta soprattutto (solo?) con clienti microsoft.

Mi pare che sia ancora aperto anche se non dovrebbe essere una situazione tanto frequente ma piuttosto rara.

Share this post


Link to post
Share on other sites

Mi pare di capire (correggetemi se sbaglio, lo avevo intravisto questo articolo e adesso ho leggiucchiato per dare info a voi) che il problema si presenta soprattutto (solo?) con clienti microsoft.

 

No, IIS è affetto allo stesso modo, non di più, non di meno.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this  

×