CVE-2014-3566, important SSLv3 vulnerability, known as Poodle.

Gena Makhomed gmm at csdoc.com
Sun Oct 19 16:55:31 UTC 2014


On 17.10.2014 16:24, Maxim Dounin wrote:

>> Кроме самых новых версий Firefox/Chrome на руках и пользователей
>> остается ведь очень много и других, более старых версий браузеров.
>> Которые умеют TLSv1 и которым для нормальной работы не нужен SSLv3.
>
> Браузер, который не обновляют - это браузер, рассматривать который
> с точки зрения безопасности достаточно бессмысленно, он всё равно
> дыряв, так или иначе.  И хорошо, если в качестве дырки будет
> выступать POODLE, а не remote code execution.
>
> С точки зрения безопасности имеет смысл рассматривать только
> актуальные версии современных браузеров.  И тут уже, судя по
> всему, проблема решена как минимум в Chrome и Opera[1], и скоро
> будет решена в Firefox.  Ждём Safari и IE.
>
> [1] http://blogs.opera.com/security/2014/10/security-changes-opera-25-poodle-attacks/
>

Почему оставление включенным по умолчанию уязвимого протокола SSLv3
выглядит более предпочитетельным вариантом, если "с точки зрения 
безопасности" старых версий браузеров как бы и не существует?

Буква 'S' в аббревиатурах "HTTPS" и "SSL" обозначает слово "Secure".

Разве не лучше сделать сброс подключения по протоколу SSLv3 вместо
того, чтобы делать вид, что обмен данными между клиентом и сервером
надежно зашифрован и скрыт от посторонних глаз. Ведь там могут быть,
например, данные кредитных карт или другая sensitive information,
которая крайне не желательна к попаданию в руки man-in-the-middle.

-- 
Best regards,
  Gena



Подробная информация о списке рассылки nginx-ru