LINUX.ORG.RU
НовостиБезопасность

В Firefox и Chrome будет прекращена поддержка SSL 3.0

 , , , ,


2

4

Разработчики браузера Firefox объявили об отказе от поддержки SSL 3.0 в следующем выпуске браузера (Firefox 34). Это связано с публикацией сведений о новом типе атаки на протокол, которая фактически сводит к нулю всю защищенность SSL 3.0. Корпорация Google также заявила о прекращении поддержки SSL 3.0 в ближайших выпусках Chromium/Chrome.

Отмечается, что в результате пострадает крайне небольшое число сайтов (0.3%), да и то, большая часть из них поддерживает этот протокол лишь в целях совместимости с IE6 (в котором есть поддержка TLS, но отключенная по умолчанию).

В настоящий момент атаке подвержены все защищенные соединения с сайтами, поддерживающими SSL 3.0, поскольку, даже при использовании протокола TLS, злоумышленник может заставить обе стороны переключиться на менее защищенный протокол, вызвав сбой при установке TLS-соединения.

>>> Подробности

anonymous

Проверено: Shaman007 ()
Последнее исправление: Shaman007 (всего исправлений: 1)

большая часть из них поддерживает этот протокол лишь в целях совместимости с IE6

О_о я думал что уже все выкинули эту штуку. Последний раз встречал ее в качестве требования для веб-гуя настройки эриксоновской АТС (причем в более новых ишаках оно не работало)

upcFrost ★★★★★
()

Удивлен что всё что до TLS 1.2 - вообще поддерживается. По крайней мере надо ахтунги юзеру слать, да и держателям сайтов... (я в этой тематике - как свинья в апельсинах, просто предположил)

I-Love-Microsoft ★★★★★
()

Разработчики браузера Firefox объявили об отказе от поддержки SSL 3.0 в следующем выпуске браузера (Firefox 34).

Пока жереный петух не клюнет... Чего ждали-то?

anonymous
()

а на маках обновление будет?

unt1tled ★★★★
()

какой именно это ssl?
не проще ли будет выключить все security.ssl3* в about:config?

anonymous
()
Ответ на: комментарий от anonymous

Проще выставить security.tls.version.min в 1, тогда и будет отключено всё, что слабее TLS 1.0

anonymous
()
Ответ на: комментарий от anonymous

В хроме можно отключить, запуская с --ssl-version-min=tls1

Не работает.

crowbar
()
Ответ на: комментарий от selivan

security.tls.version.min=1

Тоже самое можно и в громптице сделать.

KillTheCat ★★★★★
()
Ответ на: комментарий от upcFrost

Кто-то настроил десять лет назад сервак, да так и не обновлял конфиги (зачем, если всё работает?). Кто-то настроил сервек по перепечаткам хавтушечек десятилетней давности, и не парится.

MrClon ★★★★★
()
Ответ на: комментарий от upcFrost

O_о я думал что уже все выкинули эту штуку

Есть такое слово - legacy. Клиент когда-то купил и до сих пор использует решение под ie6 - будет поддерживать ie6.

selivan ★★★
()
Ответ на: комментарий от praseodim

Проблемы государств-слоупоков мозиллу и гугл не волнуют :)

vurdalak ★★★★★
()
Ответ на: комментарий от imul

В ie6 достаточно просто включить tls. Проблема не в легаси.

Есть куча ie с настройками по-умолчанию, есть куча корпоративных систем SSL only. Для преодоления этой кучи технического долга нужно вложение денег и сил. Которое бизнес может считать нецелесообразным.

Я году в 2008, будучи суппортом, настраивал FoxPro под DOS. Который, казалось бы, должен был вымереть ещё в конце девяностых.

selivan ★★★
()
Ответ на: комментарий от selivan

Я не нашёл в твоём пространном выхлопе ни одного слова, которое бы противоречило моему утверждению.

imul ★★★★★
()

Ну и тормоза! Разрабы Оперы еще года 3 назад призывали это сделать.

anonymous
()
Ответ на: комментарий от selivan

Для преодоления этой кучи технического долга нужно вложение денег и сил. Которое бизнес может считать нецелесообразным.

Забота о безопасности такого бизнеса тоже нецелесообразна.

cvs-255 ★★★★★
()
Ответ на: комментарий от selivan

FoxPro под DOS. Который, казалось бы, должен был вымереть ещё в конце девяностых

Да он и сейчас живее всех живых =)

GAMer ★★★★★
()
Ответ на: комментарий от Deleted

Бугагага....призываем maxcom разобраться, а то слив ЛОРа - это будет трагедия.

bookman900 ★★★★★
()
Ответ на: комментарий от Deleted

Я SSLv3 отключал уже как-то, но он вернулся из-за того что сейчас SSL приземляется на стороннем сервисе. Завтра и там его отключат.

maxcom ★★★★★
()

Почему-то для firefox 32 (арч) тестовые сайты показывают отсутствие уязвимости.

crowbar
()
Ответ на: комментарий от KennyMinigun

TLS 1.0 поддерживается всем сайтами, TLS 1.1 и TLS 1.2 где-то половиной. Первые два — тоже решето.

crowbar
()
Ответ на: комментарий от powerguy

IIS или как его там научился в SSL?

А не умел? Я не в курсе. Зато знаю, место где в интранете до сих пор нужен IE6.

praseodim ★★★★★
()
Ответ на: комментарий от praseodim

я не знаю, но почти все сервисы правительства МСК на IIS без https.

powerguy ★★★
()

согласно poodlebleed.com google.com, mozilla.org, yandex.ru и microsoft.com ещё не отключили ssl 3.0 linux.org.ru и apple.com уже отключили

anonymous
()
Ответ на: комментарий от selivan

Есть куча ie с настройками по-умолчанию, есть куча корпоративных систем SSL only. Для преодоления этой кучи технического долга нужно вложение денег и сил. Которое бизнес может считать нецелесообразным.

Устаревшее и самое главное уязвимое ПО подлежит замене либо изменению, если оно возможно. И великая истина «скупой платит дважды» здесь как нельзя кстати.

anonymous
()
Ответ на: комментарий от anonymous

великая истина «скупой платит дважды»

Сказать, что бизнес скупой на нецелевые расходы(а они очень редко понимают, зачем нужно IT) - это как сказать, что вода немного мокрая.

selivan ★★★
()

ssl 3... Тут вообще ssl2 включать приходится. да и еше шифрование в 64 бита максимум. Иначе фиг зайдешь в консоль управления железкой. Или заточат разрабы из поднебесной вебку коммутатора только под ие6

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Безопасность