Le connessioni HTTPS non sono più così sicure.
[ZEUS News - www.zeusnews.it - 18-10-2014]
Dopo Heartbleed e Shellshock, una nuova falla sta attirando ora l'attenzione: Poodle, che in italiano significa barboncino ma è in realtà un acronimo per Padding Oracle On Downgraded Legaxy Encryption.
Il documento che la illustra, annunciato sul blog di Google dedicato alla sicurezza, spiega che la vulnerabilità è presente nella versione 3.0 del protocollo SSL.
SSL 3.0 è uno standard piuttosto vecchio - ha quasi 18 anni ed è stato soppiantato da TLS - ma è ancora ampiamente supportato: praticamente tutti i browser lo adoperano ancora se, per qualche motivo, non riescono a stabilire una connessione HTTPS usando gli standard più recenti.
Sfruttando Poodle con un attacco man-in-the-middlediventa possibile decifrare i cookie, i quali possono anche contenere informazioni delicate, e adoperare i dati così ottenuti per accedere ai servizi online che ne fanno uso.
Le condizioni che devono verificarsi affinché sia possibile sfruttare Poodle rendono il pericolo un po' meno preoccupante: è infatti necessario che chi tenta l'attacco sia collegato alla medesima rete del bersaglio; l'uso di una rete Wi-Fi pubblica, per esempio, diventa in quest'ottica molto più rischioso di quanto fosse finora.
|
Secondo Google, per ridurre il rischio la strada è disabilitare sui server il supporto a SSL 3.0, sebbene ciò possa portare a problemi di compatibilità; l'azienda di Mountain View in ogni caso ha annunciato di voler rimuovere il supporto al vecchio standard nei prossimi mesi.
Per evitare i citati problemi di compatibilità, Google consiglia agli amministratori di abilitare TLS_FALLBACK_SCSV, che evita il passaggio a protocolli di sicurezza più vecchi.
Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News
ti consigliamo di iscriverti alla Newsletter gratuita.
Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui
sotto, inserire un commento
(anche anonimo)
o segnalare un refuso.
© RIPRODUZIONE RISERVATA |
|
|
||
|