LINUX.ORG.RU

В Firefox и Chrome будет прекращена поддержка SSL 3.0

 , , , ,


2

4

Разработчики браузера Firefox объявили об отказе от поддержки SSL 3.0 в следующем выпуске браузера (Firefox 34). Это связано с публикацией сведений о новом типе атаки на протокол, которая фактически сводит к нулю всю защищенность SSL 3.0. Корпорация Google также заявила о прекращении поддержки SSL 3.0 в ближайших выпусках Chromium/Chrome.

Отмечается, что в результате пострадает крайне небольшое число сайтов (0.3%), да и то, большая часть из них поддерживает этот протокол лишь в целях совместимости с IE6 (в котором есть поддержка TLS, но отключенная по умолчанию).

В настоящий момент атаке подвержены все защищенные соединения с сайтами, поддерживающими SSL 3.0, поскольку, даже при использовании протокола TLS, злоумышленник может заставить обе стороны переключиться на менее защищенный протокол, вызвав сбой при установке TLS-соединения.

>>> Подробности

anonymous

Проверено: Shaman007 ()

большая часть из них поддерживает этот протокол лишь в целях совместимости с IE6

О_о я думал что уже все выкинули эту штуку. Последний раз встречал ее в качестве требования для веб-гуя настройки эриксоновской АТС (причем в более новых ишаках оно не работало)

upcFrost ★★★★★ ()

Удивлен что всё что до TLS 1.2 - вообще поддерживается. По крайней мере надо ахтунги юзеру слать, да и держателям сайтов... (я в этой тематике - как свинья в апельсинах, просто предположил)

I-Love-Microsoft ★★★★★ ()

Разработчики браузера Firefox объявили об отказе от поддержки SSL 3.0 в следующем выпуске браузера (Firefox 34).

Пока жереный петух не клюнет... Чего ждали-то?

anonymous ()

а на маках обновление будет?

unt1tled ★★★★ ()

какой именно это ssl?
не проще ли будет выключить все security.ssl3* в about:config?

anonymous ()
Ответ на: комментарий от anonymous

Проще выставить security.tls.version.min в 1, тогда и будет отключено всё, что слабее TLS 1.0

anonymous ()
Ответ на: комментарий от anonymous

В хроме можно отключить, запуская с --ssl-version-min=tls1

Не работает.

crowbar ()
Ответ на: комментарий от selivan

security.tls.version.min=1

Тоже самое можно и в громптице сделать.

KillTheCat ★★★★ ()
Ответ на: комментарий от upcFrost

Кто-то настроил десять лет назад сервак, да так и не обновлял конфиги (зачем, если всё работает?). Кто-то настроил сервек по перепечаткам хавтушечек десятилетней давности, и не парится.

MrClon ★★★★★ ()

Наверняка какой-нибудь госсайт отвалится после запрета SSL 3.0

praseodim ★★ ()
Ответ на: комментарий от upcFrost

O_о я думал что уже все выкинули эту штуку

Есть такое слово - legacy. Клиент когда-то купил и до сих пор использует решение под ie6 - будет поддерживать ie6.

selivan ★★★ ()
Ответ на: комментарий от selivan

В ie6 достаточно просто включить tls. Проблема не в легаси.

imul ★★★★★ ()
Ответ на: комментарий от praseodim

Проблемы государств-слоупоков мозиллу и гугл не волнуют :)

vurdalak ★★★★★ ()
Ответ на: комментарий от imul

В ie6 достаточно просто включить tls. Проблема не в легаси.

Есть куча ie с настройками по-умолчанию, есть куча корпоративных систем SSL only. Для преодоления этой кучи технического долга нужно вложение денег и сил. Которое бизнес может считать нецелесообразным.

Я году в 2008, будучи суппортом, настраивал FoxPro под DOS. Который, казалось бы, должен был вымереть ещё в конце девяностых.

selivan ★★★ ()
Ответ на: комментарий от selivan

Я не нашёл в твоём пространном выхлопе ни одного слова, которое бы противоречило моему утверждению.

imul ★★★★★ ()

Ну и тормоза! Разрабы Оперы еще года 3 назад призывали это сделать.

anonymous ()
Ответ на: комментарий от selivan

Для преодоления этой кучи технического долга нужно вложение денег и сил. Которое бизнес может считать нецелесообразным.

Забота о безопасности такого бизнеса тоже нецелесообразна.

cvs-255 ★★★★ ()
Ответ на: комментарий от selivan

FoxPro под DOS. Который, казалось бы, должен был вымереть ещё в конце девяностых

Да он и сейчас живее всех живых =)

GAMer ★★★★★ ()

А тем временем, когда сотни тысяч админов по всему миру уже поотключали SSLv3, ЛОР всё еще уязвим: http://pastebin.com/KrfEfCMq

somestuff ★★★★ ()
Ответ на: комментарий от somestuff

Бугагага....призываем maxcom разобраться, а то слив ЛОРа - это будет трагедия.

bookman900 ★★★★★ ()
Ответ на: комментарий от somestuff

Я SSLv3 отключал уже как-то, но он вернулся из-за того что сейчас SSL приземляется на стороннем сервисе. Завтра и там его отключат.

maxcom ★★★★★ ()

Почему-то для firefox 32 (арч) тестовые сайты показывают отсутствие уязвимости.

crowbar ()
Ответ на: комментарий от KillTheCat

SSL 3.0

Я думал оно уже сдохло.

Для обитателей криокамеры: а что нынче в тренде?

KennyMinigun ★★★★★ ()
Ответ на: комментарий от KennyMinigun

TLS 1.0 поддерживается всем сайтами, TLS 1.1 и TLS 1.2 где-то половиной. Первые два — тоже решето.

crowbar ()
Ответ на: комментарий от powerguy

IIS или как его там научился в SSL?

А не умел? Я не в курсе. Зато знаю, место где в интранете до сих пор нужен IE6.

praseodim ★★ ()
Ответ на: комментарий от praseodim

я не знаю, но почти все сервисы правительства МСК на IIS без https.

powerguy ★★ ()

согласно poodlebleed.com google.com, mozilla.org, yandex.ru и microsoft.com ещё не отключили ssl 3.0 linux.org.ru и apple.com уже отключили

anonymous ()
Ответ на: комментарий от selivan

Есть куча ie с настройками по-умолчанию, есть куча корпоративных систем SSL only. Для преодоления этой кучи технического долга нужно вложение денег и сил. Которое бизнес может считать нецелесообразным.

Устаревшее и самое главное уязвимое ПО подлежит замене либо изменению, если оно возможно. И великая истина «скупой платит дважды» здесь как нельзя кстати.

anonymous ()
Ответ на: комментарий от anonymous

великая истина «скупой платит дважды»

Сказать, что бизнес скупой на нецелевые расходы(а они очень редко понимают, зачем нужно IT) - это как сказать, что вода немного мокрая.

selivan ★★★ ()

ssl 3... Тут вообще ssl2 включать приходится. да и еше шифрование в 64 бита максимум. Иначе фиг зайдешь в консоль управления железкой. Или заточат разрабы из поднебесной вебку коммутатора только под ие6

anonymous ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.