Topic: Cosa è e come si gestisce falsestart-rc4?

[Iceberg]

Cosa è falsestart-rc4?
Come si disabilita?

Questo falsestart-rc4 era stato abilitato in quanto abilitato su Google Chrome (solita storia).
Poi è stato disabilitato in quanto meglio non abilitarlo.
Ora è nuovamente stato abilitato.

Non ho capito che cosa esattamente sia, d'istinto penso male.
Non ho capito come possa l'utente ignorare questi processi interni e fare da solo. Impostare da se una opzione, che non trovo.

E' qualcosa che si nota meglio dalla gestione permessi di SeaMonkey.

C'è qualcuno meno ignorante di me che sappia far luce su questo scottante tema?

[Geko]

Da quello che ho capito (o anche non capito) qua http://blog.cryptographyengineering.com/2012/04/so-long-false-start-we-hardly-knew-ya.html sembrerebbe una specie di "scorciatoia",detto in termini non tecnici,per velocizzare l'avvio di connessioni web criptate con standard TLS,in pratica lo scambio di dati si avvia prima che la sequenza di handshake sia completamente conclusa.

E' una possibile vulnerabilità? boh.L'articolo che ho linkato non tira conclusioni definitive,magari da qualche altra parte si trovano altre informazioni.

[Iceberg]

falsestart-rc4 e falsestart-rsa

Sì. Dovrebbe essere una procedura per velocizzare l'avvio di connessioni protette. Per raggiungere lo scopo alcune informazioni vengono trasmesse in anticipo. Prima che la connessione sicura sia stata definita effettivamente sicura. Il rischio è quello di trasmettere queste prime informazioni, le più importanti vien da dire, in modo non ancora sicuro.
Leggo di un guadagno del 30% del tempo di avvio prendendosi questo rischio.
C'è stato, e c'è, un lungo tira e molla, sull'abilitare o disabilitare questa funzione.
Sempre se non ho capito male, attualmente dovrebbe essere disabilitato. Il programma prevede la riabilitazione con Firefox 28.
Dovrebbe essere disabilitato su SeaMonkey 2.23, c'è anche un parametro security.ssl.enable_false_start che vale false. Tuttavia osservando la scheda permessi le cose non tornano. Appare attivo e non disabilitabile.

Da prendere con le molle quanto ho scritto. Di sicuro mi saranno sfuggite un bel po' di cose e tutta la procedura falsestart è certamente più complessa. E si spera più sicura di quanto sembra ad una prima lettura da parte di un esterno ignorante.

[Geko]

Per la cronaca,oggi in Ubuntu ho visto un aggiornamento di sicurezza  relativo a falsestart:mi sa che questo protocollo hai i suoi bug,almeno per ora.

[Iceberg]

Grazie della segnalazione.
A pensar male...

In Firefox 24 c'è questo parametro così impostato:

Codice: [Seleziona]

security.ssl.enable_false_start = false
Situazione in Firefox 26 (e Seamonkey 2.23), i parametri diventano tre:

Codice: [Seleziona]

security.ssl.enable_false_start = false
security.ssl.false_start.require-forward-secrecy = false
security.ssl.false_start.require-npn = true
Situazione in Firefox 29 (e forse 27?), tutto attivo:

Codice: [Seleziona]

security.ssl.enable_false_start = true
security.ssl.false_start.require-forward-secrecy = true
security.ssl.false_start.require-npn = true
Cosa vogliano dire il secondo e il terzo parametro non lo so.
Firefox nella scheda permessi non mostra chi usa questo falsestart, Seamonkey sì.
In Seamonkey 2.23 il parametro è false, però nella realtà sembra che valga true (cosa mi sfugge?).

Segnalo questo articolo che sembra interessante, e che va ben oltre falsestart:
https://pardydba.wordpress.com/category/security-2/
Ne estrapolo sinteticamente due punti.

Prima viene consigliato di abilitare falsestart, successivamente in cima all'articolo in grassetto aggiunge:

Codice: [Seleziona]

Removed recommendation to enable security.ssl.enable_false_start, as it appears to be unsafe.
Secondo punto (che non c'entra niente ma me lo appunto in quanto ne abbiamo parlato spesso).
L'autore consiglia di lasciare Ghostery per Disconnect.