CVE-2014-3566, important SSLv3 vulnerability, known as Poodle.

Илья Шипицин chipitsine at gmail.com
Mon Oct 20 08:38:15 UTC 2014 

вы можете пообщаться на тему здравого смысла с разработчиками RFC по SSL/TLS.
кажется, что они не всегда исходят от здравого смысла.

например, какая-либо сигнализация, доступная пользователю, возможно
уже после установления соединения.
т.е., если одна сторона принципиально хочет SSLv3, а другая TLS1.2, то
в браузере будет "CANNOT CONNECT" без объяснения причин.
и это by design.


но слава богу, вы можете оставить включенным SSLv3 и на основании
переменной $ssl_protocol в этом случае выдавать заранее заготовленную
страницу "вам необходимо поменять настройки браузера"


вопрос, делать ли сброс подключения на SSLv3 или как-то особым образом
его обрабатывать - полностью в ваших руках

19 октября 2014 г., 22:55 пользователь Gena Makhomed <gmm at csdoc.com> написал:
> On 17.10.2014 16:24, Maxim Dounin wrote:
>
>>> Кроме самых новых версий Firefox/Chrome на руках и пользователей
>>> остается ведь очень много и других, более старых версий браузеров.
>>> Которые умеют TLSv1 и которым для нормальной работы не нужен SSLv3.
>>
>>
>> Браузер, который не обновляют - это браузер, рассматривать который
>> с точки зрения безопасности достаточно бессмысленно, он всё равно
>> дыряв, так или иначе.  И хорошо, если в качестве дырки будет
>> выступать POODLE, а не remote code execution.
>>
>> С точки зрения безопасности имеет смысл рассматривать только
>> актуальные версии современных браузеров.  И тут уже, судя по
>> всему, проблема решена как минимум в Chrome и Opera[1], и скоро
>> будет решена в Firefox.  Ждём Safari и IE.
>>
>> [1]
>> http://blogs.opera.com/security/2014/10/security-changes-opera-25-poodle-attacks/
>>
>
> Почему оставление включенным по умолчанию уязвимого протокола SSLv3
> выглядит более предпочитетельным вариантом, если "с точки зрения
> безопасности" старых версий браузеров как бы и не существует?
>
> Буква 'S' в аббревиатурах "HTTPS" и "SSL" обозначает слово "Secure".
>
> Разве не лучше сделать сброс подключения по протоколу SSLv3 вместо
> того, чтобы делать вид, что обмен данными между клиентом и сервером
> надежно зашифрован и скрыт от посторонних глаз. Ведь там могут быть,
> например, данные кредитных карт или другая sensitive information,
> которая крайне не желательна к попаданию в руки man-in-the-middle.
>
> --
> Best regards,
>  Gena
>
>
> _______________________________________________
> nginx-ru mailing list
> nginx-ru at nginx.org
> http://mailman.nginx.org/mailman/listinfo/nginx-ru

Подробная информация о списке рассылки nginx-ru