Poodle, vulnerabilità in tutti i browser

Le connessioni HTTPS non sono più così sicure.



[ZEUS News - www.zeusnews.it - 18-10-2014]

poodle falla ssl google

Dopo Heartbleed e Shellshock, una nuova falla sta attirando ora l'attenzione: Poodle, che in italiano significa barboncino ma è in realtà un acronimo per Padding Oracle On Downgraded Legaxy Encryption.

Il documento che la illustra, annunciato sul blog di Google dedicato alla sicurezza, spiega che la vulnerabilità è presente nella versione 3.0 del protocollo SSL.

SSL 3.0 è uno standard piuttosto vecchio - ha quasi 18 anni ed è stato soppiantato da TLS - ma è ancora ampiamente supportato: praticamente tutti i browser lo adoperano ancora se, per qualche motivo, non riescono a stabilire una connessione HTTPS usando gli standard più recenti.

Sfruttando Poodle con un attacco man-in-the-middlediventa possibile decifrare i cookie, i quali possono anche contenere informazioni delicate, e adoperare i dati così ottenuti per accedere ai servizi online che ne fanno uso.

Le condizioni che devono verificarsi affinché sia possibile sfruttare Poodle rendono il pericolo un po' meno preoccupante: è infatti necessario che chi tenta l'attacco sia collegato alla medesima rete del bersaglio; l'uso di una rete Wi-Fi pubblica, per esempio, diventa in quest'ottica molto più rischioso di quanto fosse finora.

Sondaggio
Qual Ŕ il momento tra questi in cui avverti il maggior bisogno di privacy?
Leggo gli annunci di lavoro in ufficio
Spio un/una mio/a ex sui social network
Utilizzo i social network in ufficio
Consulto l'online banking
Guardo foto o filmati a luci rosse
Invio o guardo foto private
Faccio shopping online

Mostra i risultati (1616 voti)
Leggi i commenti (4)

Secondo Google, per ridurre il rischio la strada è disabilitare sui server il supporto a SSL 3.0, sebbene ciò possa portare a problemi di compatibilità; l'azienda di Mountain View in ogni caso ha annunciato di voler rimuovere il supporto al vecchio standard nei prossimi mesi.

Per evitare i citati problemi di compatibilità, Google consiglia agli amministratori di abilitare TLS_FALLBACK_SCSV, che evita il passaggio a protocolli di sicurezza più vecchi.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
© RIPRODUZIONE RISERVATA

Approfondimenti
Nuova falla mette a rischio le connessioni HTTPS
ShellShock, falla critica in Linux e Mac OS X
Come difendersi da Heartbleed

Commenti all'articolo (1)

In firefox c'Ŕ giÓ il modo per disattivare ssl3 e sei apposto come client indipendentemente dalla rete e dal server...
18-10-2014 22:59

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
Considerando costi, tempi di realizzazione e possibili conseguenze, su quale fonte di energia alternativa ai combustibili fossili bisognerebbe maggiormente puntare?
Solare
Eolica
Geotermica
Biomasse
Idrogeno
Nucleare
Idroelettrica

Mostra i risultati (6485 voti)
Maggio 2020
Windows 10, rilasciato l'update di maggio. Microsoft: ''Non aggiornate''
Immuni, rilasciati i sorgenti
Da Samsung lo smartphone da usare in guerra
Microsoft confessa: ''Sull'open source abbiamo sbagliato tutto''
Da OnePlus lo smartphone che vede attraverso gli oggetti (e i vestiti)
Windows 10, inizia l'abbandono dei 32 bit
Facebook, arriva la nuova interfaccia. Senza possibilità di fuga
UE, giro di vite sui cookie
L'app che snellisce Windows 10
Windows 10, l'aggiornamento di maggio uscirà con un bug
WhatsApp, finalmente arriva il supporto a più dispositivi
Aprile 2020
Windows 10 diventa più scattante con il May 2020 Update
Rubare i dati da un Pc sfruttando le vibrazioni delle ventole
Il software per impersonare gli altri su Zoom e Skype
Pirateria, la soluzione è sospendere Telegram
Tutti gli Arretrati


web metrics