Autore Topic: Poodle, il barboncino che legge i dati delle connessioni cifrate (SSLv3) con cifratura a blocchi  (Letto 3550 volte)

0 Utenti e 1 Visitatore stanno visualizzando questo topic.

Offline gialloporpora

  • サンドロ
  • Moderatore
  • Post: 10806
    • Il blog che non c'è
@Icerg,
probabilmente è questo il motivo, immaginavo fosse qualcosa del genere.
@Geko,
il bug, del protocollo e non di Firefox né degli altri browser, c'è da sempre. La preferenza prima c'era sotto altro nome:
Pagina su MozillaZine
Se vuoi una spiegazione tecnica del bug (un mancato controllo sul padding dei dati cifrati) leggi questo articolo.

@A35G,
il bello dell'informatica :-)



« Ultima modifica: 16 Ottobre 2014 11:24:51 da gialloporpora »

Offline Iceberg

  • Moderatore
  • Post: 7666
Perchè mi sembra di aver visto che questo parametro nelle versioni precedenti non c'era.

Si chiamava security.enable_ssl3, non era però necessario sapere come si chiamava, c'era direttamente l'opzione nelle preferenze.

Offline gialloporpora

  • サンドロ
  • Moderatore
  • Post: 10806
    • Il blog che non c'è
Per chi usa HTTS Everywhere: l'estensione è stata aggiornata per bloccare questo genere di attacchi, quindi se avete quella installata non serve fare nulla se non controllare che sia aggiornata:
https://www.eff.org/https-everywhere

Offline Winfox

  • Post: 2718

Offline gialloporpora

  • サンドロ
  • Moderatore
  • Post: 10806
    • Il blog che non c'è
Lo hanno aggiornato, ora che ero passato su un profilo dove non avevo modificato quella preferenza e rifatto il test ha mostrato anche a me il barboncino.

Offline Geko

  • Post: 1376
Perchè mi sembra di aver visto che questo parametro nelle versioni precedenti non c'era.

Si chiamava security.enable_ssl3, non era però necessario sapere come si chiamava, c'era direttamente l'opzione nelle preferenze.

Infatti è come dici tu,e se non ho preso un granchio l'opzione security.tls.version.min = 1 era già di default su questo valore nella GUI:hanno fatto un passo indietro con le versioni successive?

Offline gialloporpora

  • サンドロ
  • Moderatore
  • Post: 10806
    • Il blog che non c'è
Citazione
Infatti è come dici tu,e se non ho preso un granchio l'opzione security.tls.version.min = 1 era già di default su questo valore nella GUI:hanno fatto un passo indietro con le versioni successive?

Non mi ostino, però SSLv3 è sempre stato attivo, quello che era disattivato di default era SSLv2.

Offline Iceberg

  • Moderatore
  • Post: 7666
Firefox 3.6.28, valori di default:

Codice: [Seleziona]
security.enable_ssl2 = false
security.enable_ssl3 = true
security.enable_tls = true

non c'era version.min.
« Ultima modifica: 17 Ottobre 2014 11:43:44 da Iceberg »

Offline Godai71

  • Moderatore
  • Post: 4102
    • The Walking Shadow
Per completezza di informazione, aggiungo che la stessa preferenza è presente in Thunderbird.

Offline miki64

  • Moderatore
  • Post: 29468
Ma quindi ci sono dei parametri anche da cambiare su TB?  :?

Offline gialloporpora

  • サンドロ
  • Moderatore
  • Post: 10806
    • Il blog che non c'è
Solo se hai ThunderBrowse (vedi i commenti nel blog di Mozilla).
Per sfruttare quel bug l'hacker deve poter eseguire JS e in TB JS non è attivo di default.
Tieni anche conto che, da qui:
http://nakedsecurity.sophos.com/2014/10/16/poodle-attack-takes-bytes-out-of-your-data-heres-what-to-do/

la situazione tipica in cui quell'attacco si sfrutta è nel caso che l'attaccante riesca a eseguire JS nelle pagine altrui, quindi deve avere il controllo sulla rete (un amministratore o qualcuno che riesca ad accedere con permessi di admin alla rete), in caso di connessioni casalinghe è praticamente inutilizzabile da quel che mi pare capire (dovresti trovare un sito vulnerbile agli attacchi XSS, però questo è un problema che dovrebbero risolvere a prescindere anche per difendersi da altri attacchi).

Offline gialloporpora

  • サンドロ
  • Moderatore
  • Post: 10806
    • Il blog che non c'è
Sicurezza VS Market Share: le scelte dei vari browser

POODLE and the fundamental market failure of browser security
Citazione
Without saying that Mozilla’s approach is correct, we can point out a simple and sad fact: by being the most aggressive about protecting their user’s security, Mozilla will probably lose market share, at least in the short run.

Offline Geko

  • Post: 1376
Firefox 3.6.28, valori di default:

Codice: [Seleziona]
security.enable_ssl2 = false
security.enable_ssl3 = true
security.enable_tls = true

non c'era version.min.

Io mi riferivo a questo in Firefox 20,o non c'entra niente?

Offline Geko

  • Post: 1376
POODLE and the fundamental market failure of browser security
Citazione
Without saying that Mozilla’s approach is correct, we can point out a simple and sad fact: by being the most aggressive about protecting their user’s security, Mozilla will probably lose market share, at least in the short run.

Dopo averli visti tentennare sulla questione dei cookies di terze parti (anche se ora non ricordo bene come è andata a finire) e prendere tempo anche sul canvas fingerprinting,apprezzo che mostrino un pò di decisione su questo argomento.

Offline Iceberg

  • Moderatore
  • Post: 7666
@Geko, l'opzione che si vede nella tua immagine "USE SSL 3.0 attiva" corrispondeva al parametro "security.enable_ssl3 = true", oggi cambiato in  "security.tls.version.min = 0" un valore maggiore di "0" disabilita SSL 3.


0 Utenti e 1 Visitatore stanno visualizzando questo topic.