El ataque "POODLE" se hizo público en octubre de 2014. ¿Por qué Safari aún es compatible con SSL 3.0 después de que POODLE se mostró ¿Es inseguro?
Apple ha lanzado la Security Update 2014-005, deshabilitando la Modo CBC con SSLv3:
Actualización de seguridad 2014-005
- Transporte seguro
Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5
Impacto: un atacante puede descifrar datos protegido por SSL
Descripción: Hay ataques conocidos en el confidencialidad de SSL 3.0 cuando una suite de cifrado utiliza un cifrado de bloque en Modo CBC. Un atacante podría forzar el uso de SSL 3.0, incluso cuando el el servidor soportaría una mejor versión TLS, al bloquear TLS 1.0 y mayores intentos de conexión. Este problema se solucionó al deshabilitar CBC conjuntos de cifrado cuando fallan los intentos de conexión TLS.
ID de CVE
CVE-2014-3566: Bodo Moeller, Thai Duong y Krzysztof Kotowicz de Google Security Equipo
(Los énfasis son míos)
Por lo tanto, incluso si Safari sigue siendo compatible con SSLv3, no es vulnerable a los ataque de POODLE.
Poodle
El Poodle Attack es contra un tipo de cifrado muy específico que en combinación con SSLv3.0 llevaría a un vector de ataque. Evitar esos tipos vulnerables de cifrados evita que te ataquen con ese vector. Ese vector ya no es un ángulo de ataque, por lo que puede usar con seguridad SSLv3.0 sin preocupaciones (con suerte). Sin embargo, existe una versión más reciente y más difícil de descifrar de la tecnología Secure Socket Layer (a menudo llamada TLS ) que se prefiere y debe usarse en su lugar.
TLS
Debido a que en realidad no existen otros ataques contra SSLv3.0 si no usa los cifrados en bloque, por el momento todavía se considera "lo suficientemente seguro". El problema es que es "suficientemente seguro". Esto se aplica a toda la tecnología SSL en este momento (están experimentando con algoritmos más seguros mientras hablamos) ya que " con suficiente dinero y tiempo, la seguridad es solo un retraso ". Debido a esto, desea que el tiempo que lleva romper la seguridad sea lo más largo posible si contiene información confidencial. Para ello, usted debería utilizar algoritmos de intercambio de clave y cifrado más avanzados . Esto no significa que usted no debería utilizar los sitios que solo admiten SSLv3.0 , sino que debería cambiar a utilizar TLS , posiblemente a la última versión disponible, si es posible, y con un buen conjunto de cifrado . Estos algoritmos y sistemas tardan mucho más en crackear, y como tales son mucho más "suficientemente seguros".
TLS
Si un sitio web que usted frecuenta no es compatible con TLS, póngase en contacto con su webmaster y pregunte por qué. Si no tienen planes de actualización, considere la posibilidad de eliminar ese sitio web de su lista frecuente dentro de la próxima década. Existen herramientas en línea para verificar la fuerza de SSL de los sitios web para asegurarse de que estén seguros. Si el sitio es lo suficientemente seguro para el futuro inmediato, ¡no se preocupe! Si no es así, entonces preocuparse un poco. Si el grado es realmente malo, preocupate mucho y deja de usar ese sitio lo antes posible después de eliminar tu información lo más posible.
Man In The Middle ataques son mucho peores que Poodle
Siguiendo estos consejos, deberías estar seguro en casi todos los sitios web que visites (suponiendo que se esté usando la suficiente seguridad).
Lea otras preguntas en las etiquetas web-browser tls known-vulnerabilities safe-browsing-filter safari