Hlavní navigace

Názory k článku Tenhle pudl kouše. Po Heartbleedu je tu další díra v SSL – Poodle

Článek je starý, nové názory již nelze přidávat.

  • 15. 10. 2014 20:13

    Tomáš2 (neregistrovaný) 82.113.62.---

    článek obsahuje řadu méně závažných nepřesností nebo polopravd.

    SSL není "zabezpečení", ale protokol (způsob) pro komunikaci mezi serverem a klientem.

    zelený indikátor v adresním (nikoliv příkazovém) řádku indikuje kromě šifrované komunikace hlavně ověření vlastníka domény, tj. konkrétní firmu. Zatímco pro samotnou šifrovanou komunikaci (https) stačí pouze ikonka zámečku v tomhle řádku

    "...dovoluje jeho využití v případě, že není možné využít novější verze." je správné chování a v tom by nebyl takový problém jako, že zároveň umožňuje útočníkovi ho využít i v případě, kdy prohlížeč podporuje novější, v tom je kámen úrazu. Např. update od Google tohle chování opravuje - https://tools.ietf.org/html/draft-ietf-tls-downgrade-scsv-00. Stejně tak tenhle problém řeší i aktualizace prohlížeče Chrome, jak je uvedeno v poslední odstavci

    "...se jim podaří zmanipulovat cílový web, aby umožnil alternativní šifrování pomocí SSL 3..." tohle nedává smysl, v případě, kdy mohu manipulovat s cílovým webem, je zbytečné složitě využívat slabiny v šifrování, abych mohl získat nějaké údaje, když už tam mám přístup

    - "...obsah uživatelovy cookie, ze které může získat například..." je sice principálně správně, ale není to přesné. Chyba umožňuje získat identitu přihlášeného uživatele (přes cookies pro sezení), ale velká část webů je proti tomuhle útoku zabezpečena. Dále umožňuje za určitých podmínek změnit adresu webového serveru při přihlašování a odcizit údaje jako je zmíněný email a heslo, to je vážnější problém.