又一波 Patch 到手软的节奏?SSLv3 Vulnerability

2014-10-15 07:06:45 +08:00
 dearrrfish
http://googleonlinesecurity.blogspot.com/2014/10/this-poodle-bites-exploiting-ssl-30.html
4502 次点击
所在节点    信息安全
14 条回复
wzxjohn
2014-10-15 08:23:15 +08:00
目测这不是简单Patch能解决的问题啊。。。
In the coming months, we hope to remove support for SSL 3.0 completely from our client products.
这话都说出来了。。。
dearrrfish
2014-10-15 08:32:55 +08:00
https://blogs.akamai.com/2014/10/ssl-is-dead-long-live-tls.html

akamai 宣布屏蔽所有的 SSLv2 和 v3 流量了。

https://www.dfranke.us/posts/2014-10-14-how-poodle-happened.html
dearrrfish
2014-10-15 08:34:49 +08:00
我标题说 Patch 不准确,应该是服务器设置的更新和客户端(浏览器)的更新吧。
sanddudu
2014-10-15 09:23:10 +08:00
@dearrrfish SSL 已死 TLS 永生 XD
auser
2014-10-15 09:30:04 +08:00
TLS1.2 应该成为标配
SSLv1 v2 v3早该淘汰了
est
2014-10-15 09:34:34 +08:00
@auser TLS1.2 也危险了。哈哈哈哈。
wdlth
2014-10-15 09:47:11 +08:00
Google又作恶了,NSA要责令其停业整顿了。
janxin
2014-10-15 10:22:18 +08:00
@auser TLS v1.2也是Android4.1才开始支持的,要是TLS v1.2强制标配,Android要挂不少,除非客户端自己实现TLS v1.2。
AstroProfundis
2014-10-15 10:23:38 +08:00
已禁用 SSLv3 感谢提醒
hjc4869
2014-10-15 10:51:57 +08:00
我服务器一直是TLS 1.0 1.1 1.2应该没受影响。。
Akiyori
2014-10-15 11:00:48 +08:00
Fastly的邮件

..we are disabling SSLv3 for all Fastly SSL customers, effective immediately..mainly
affect users of Windows XP Pre-service pack 3 combined with IE version 6..
auser
2014-10-15 14:14:49 +08:00
@janxin



谢谢告知
mengzhuo
2014-10-15 17:50:49 +08:00
细节论文
https://www.openssl.org/~bodo/ssl-poodle.pdf

粗略地看了看论文,中间人攻击+重复请求服务器就可以获得用户的Cookie等敏感信息。
服务器只有禁用SSLv3,不允许降级处理才行。。。

If SSL 3.0 is neither disabled nor the only possible protocol
version, then the attack is possible if the client uses a downgrade dance for
interoperability.
dearrrfish
2014-10-16 01:01:48 +08:00
已手软,好多 dev tool script 要更新

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/138973

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX