vulnerabilidad de POODLE en las principales redes sociales

1

Las redes sociales son una piedra angular para la mayoría de nuestras vidas diarias, ya sea comunicarse con amigos, compartir fotos o incluso usar redes sociales para publicidad y promoción empresarial. Al leer sobre esta complicación recién descubierta. Es evidente que los sitios web utilizan una variedad de certificados de tipo SSL / TLS. Si la conexión a uno falla, los navegadores están equipados para un protocolo de retroceso, que utilizará un certificado alternativo para el cifrado. He encontrado esta pieza de texto:

  

Cualquier sitio web que admita SSLv3 es vulnerable a POODLE, incluso si   También soporta versiones más recientes de TLS. En particular, estos   Los servidores están sujetos a un ataque de degradación, en el que el atacante   Engaña al navegador para que se conecte con SSLv3. Esto se basa en una   Comportamiento de los navegadores llamado replegamiento inseguro, donde los navegadores intentan   para negociar versiones inferiores de TLS o SSL cuando las conexiones fallan.

Source

Con esto en mente. Dado que se ha hecho una declaración pública de que SSLv3 no es seguro, atraerá a más usuarios maliciosos para explotarlo (toneladas más que antes). Lo que enciende la pregunta:

En el tiempo que tardan los principales y populares sitios y navegadores en desactivar / desactivar SSLv3, actualmente (día 1 del lanzamiento público de la vulnerabilidad), cómo están en riesgo los sitios web de redes sociales actuales, como Twitter y Facebook. que actualmente utilizan TLS 1.2, el Twitter emitió Symantic y Facebook lo emitió Digicert, con las configuraciones del servidor (por suposición) para recurrir a cualquier método de cifrado que no sea TLS1.0, pero SSLv1 puede ser un alternativa a no estar completamente muerto?

    
pregunta Daryl Gill 16.10.2014 - 00:51
fuente

2 respuestas

4

Algunas partes de su pregunta deben aclararse. El cifrado SSL / TLS se basa en los conjuntos de cifrado admitidos tanto por el cliente como por el servidor. No los certificados emitidos a cada sitio de redes sociales. Los certificados emitidos no tienen relación con la vulnerabilidad de un sitio web a POODLE.

El respaldo a otra versión SSL solo se realiza si ambas partes no están de acuerdo con una suite de cifrado. SSLv1 nunca fue lanzado. El único navegador que conozco que admite SSLv2 es IE (al menos hasta IE9, esto era cierto). Estas versiones del protocolo aún tendrían que ser soportadas por el servidor. Los servidores tienen soporte SSLv2, pero rara vez están habilitados por defecto.

Dicho todo esto, los sitios de redes sociales no están "en riesgo". Los clientes están en riesgo porque son sus credenciales las que se pueden descifrar. Facebook implementará parches / actualizaciones en sus servidores para que SSLv3 esté deshabilitado para proteger a sus usuarios, pero los servidores en sí no están siendo comprometidos activamente.

    
respondido por el RoraΖ 16.10.2014 - 14:05
fuente
1

Los sitios web en sí no están en riesgo. Los datos del usuario mientras está en la conexión del sitio web están en riesgo. Esto es especialmente cierto para las personas en wifi público donde la probabilidad de que un atacante controle el tráfico de los usuarios es mucho mayor.

Solo en el caso de que un atacante ejerza el control sobre su conexión, sus datos están en riesgo. Los gobiernos, los ISP o alguien más que tenga control parcial de su conexión (proxy, vpn, administrador de red, punto de acceso malicioso) son los posibles explotadores del error de poodle.

Los sitios pueden ser probados para su compatibilidad con SSL 3.0 en enlace

Descargo de responsabilidad: produje esta herramienta.

    
respondido por el Luke Rehmann 16.10.2014 - 01:14
fuente

Lea otras preguntas en las etiquetas