Topic: Poodle, il barboncino che legge i dati delle connessioni cifrate (SSLv3) con cifratura a blocchi

[gialloporpora]

@Icerg,
probabilmente è questo il motivo, immaginavo fosse qualcosa del genere.
@Geko,
il bug, del protocollo e non di Firefox né degli altri browser, c'è da sempre. La preferenza prima c'era sotto altro nome:
Pagina su MozillaZine
Se vuoi una spiegazione tecnica del bug (un mancato controllo sul padding dei dati cifrati) leggi questo articolo.

@A35G,
il bello dell'informatica

[Iceberg]

Perchè mi sembra di aver visto che questo parametro nelle versioni precedenti non c'era.

Si chiamava security.enable_ssl3, non era però necessario sapere come si chiamava, c'era direttamente l'opzione nelle preferenze.

[gialloporpora]

Per chi usa HTTS Everywhere: l'estensione è stata aggiornata per bloccare questo genere di attacchi, quindi se avete quella installata non serve fare nulla se non controllare che sia aggiornata:
https://www.eff.org/https-everywhere

[Winfox]

Fatto, grazie 

[gialloporpora]

Lo hanno aggiornato, ora che ero passato su un profilo dove non avevo modificato quella preferenza e rifatto il test ha mostrato anche a me il barboncino.

[Geko]

Perchè mi sembra di aver visto che questo parametro nelle versioni precedenti non c'era.

Si chiamava security.enable_ssl3, non era però necessario sapere come si chiamava, c'era direttamente l'opzione nelle preferenze.

Infatti è come dici tu,e se non ho preso un granchio l'opzione security.tls.version.min = 1 era già di default su questo valore nella GUI:hanno fatto un passo indietro con le versioni successive?

[gialloporpora]

Infatti è come dici tu,e se non ho preso un granchio l'opzione security.tls.version.min = 1 era già di default su questo valore nella GUI:hanno fatto un passo indietro con le versioni successive?

Non mi ostino, però SSLv3 è sempre stato attivo, quello che era disattivato di default era SSLv2.

[Iceberg]

Firefox 3.6.28, valori di default:

Codice: [Seleziona]

security.enable_ssl2 = false
security.enable_ssl3 = true
security.enable_tls = true
non c'era version.min.

[Godai71]

Per completezza di informazione, aggiungo che la stessa preferenza è presente in Thunderbird.

[miki64]

Ma quindi ci sono dei parametri anche da cambiare su TB? 

[gialloporpora]

Solo se hai ThunderBrowse (vedi i commenti nel blog di Mozilla).
Per sfruttare quel bug l'hacker deve poter eseguire JS e in TB JS non è attivo di default.
Tieni anche conto che, da qui:
http://nakedsecurity.sophos.com/2014/10/16/poodle-attack-takes-bytes-out-of-your-data-heres-what-to-do/

la situazione tipica in cui quell'attacco si sfrutta è nel caso che l'attaccante riesca a eseguire JS nelle pagine altrui, quindi deve avere il controllo sulla rete (un amministratore o qualcuno che riesca ad accedere con permessi di admin alla rete), in caso di connessioni casalinghe è praticamente inutilizzabile da quel che mi pare capire (dovresti trovare un sito vulnerbile agli attacchi XSS, però questo è un problema che dovrebbero risolvere a prescindere anche per difendersi da altri attacchi).

[gialloporpora]

Sicurezza VS Market Share: le scelte dei vari browser

POODLE and the fundamental market failure of browser security

Without saying that Mozilla’s approach is correct, we can point out a simple and sad fact: by being the most aggressive about protecting their user’s security, Mozilla will probably lose market share, at least in the short run.

[Geko]

Firefox 3.6.28, valori di default:

Codice: [Seleziona]

security.enable_ssl2 = false
security.enable_ssl3 = true
security.enable_tls = true
non c'era version.min.

Io mi riferivo a questo in Firefox 20,o non c'entra niente?

[Geko]

POODLE and the fundamental market failure of browser security

Without saying that Mozilla’s approach is correct, we can point out a simple and sad fact: by being the most aggressive about protecting their user’s security, Mozilla will probably lose market share, at least in the short run.

Dopo averli visti tentennare sulla questione dei cookies di terze parti (anche se ora non ricordo bene come è andata a finire) e prendere tempo anche sul canvas fingerprinting,apprezzo che mostrino un pò di decisione su questo argomento.

[Iceberg]

@Geko, l'opzione che si vede nella tua immagine "USE SSL 3.0 attiva" corrispondeva al parametro "security.enable_ssl3 = true", oggi cambiato in  "security.tls.version.min = 0" un valore maggiore di "0" disabilita SSL 3.