Navegador actualizado, pero aún vulnerable a POODLE

Navega tus respuestas
2

Así que aquí hay una situación, algunos de los socios de mi compañía nos notificaron que deshabilitarán completamente el soporte SSLv3 de su servidor.

Esto le pide a mi superior que aproveche esta oportunidad para actualizar los navegadores de Internet de nuestro equipo de operaciones para deshabilitar la compatibilidad con SSLv3.

Sabemos que Chrome y Firefox ya han emitido actualizaciones para deshabilitar SSLv3, por lo que les pedimos que actualicen sus navegadores a la última versión. Sin embargo, incluso después de aplicar la última actualización, cuando pasamos por ciertas pruebas, todavía muestran al navegador como vulnerable.

Incluso lo extraño es que algunas de las PC se mostrarán vulnerables, mientras que otras no lo serán.

¿Alguna idea de lo que está pasando?

prueba utilizada: enlace enlace

    
pregunta John 17.03.2015 - 10:03
fuente

2 respuestas

4

Algunas empresas tienen servidores proxy que realizan un ataque MITM en todo el tráfico https que pasa por una empresa. Por lo tanto, si bien SSL3 puede estar deshabilitado en su navegador, es posible que no esté deshabilitado en el servidor proxy, y el servidor proxy es lo que establece la conexión SSL con los servidores de prueba a los que está accediendo.

Si ese es el caso, necesita actualizar su servidor proxy para deshabilitar todo el tráfico SSL3 si quiere estar seguro de POODLE.

    
respondido por el Steve Sether 17.03.2015 - 15:22
fuente
1

El uso de los navegadores actualizados no es la mitigación del ataque de POODLE. El protocolo SSLv3 se debe desactivar desde el navegador para que inicie una sesión solo con TLS v1.0. La mitigación del ataque de POODLE incluye: 1. Deshabilitar el soporte para SSLv3.0 desde el servidor. 2. Deshabilitar el soporte para SSLv3.0 desde el navegador. 3.Prevenga los ataques de degradación de TLS asegurándose de que tanto los servidores Y los clientes sean compatibles con el nuevo TLS_FALLBACK_SCSV. Más información sobre la mitigación del ataque de POODLE

    
respondido por el Irfan 17.03.2015 - 12:02
fuente

Lea otras preguntas en las etiquetas

Ejemplo de Java "Secure Salted Password" de Crackstation: ¿es realmente seguro? En el contexto de la ingeniería de seguridad, ¿es la confianza una relación de equivalencia?