Le 20/10/2014 1:20, Stephane Martin a écrit :
Stats relevées auprès de différents partenaires :
- côté transitaires de paiements internet, <1% des transactions en
SSLv3
- côté téléservices administration, en gros 3%.
Ca m'étonne pas... :)
La masse des connexions en SSLv3 vient d’IE6 sous XP et de clients en
Oracle Java 6. A partir de XP SP3 on peut faire du TLS 1.0 (IE8). On
trouve parfois aussi des clients de Web Services codés avec de
vieilles technos (Delphi 2010 par exemple).
Bref avant de désactiver, vérifier avec ses clients.
Effectivement, mais bon XP n'est plus supporté par m$ depuis début 2014.
S'amuser a encore le supporter c'est un peu aider les botnet a exister
aussi.
Après rien n'empêche de mettre une page : "votre OS est trop vieux et
trop dangereux, veuillez upgrader IE6 a IE8 ou utiliser firefox, chrome
ou chrominum".
Dans des cas sites public ouvert sur 0.0.0.0/0 avoir une certaine
sécurité dans les protocole https est bon pour faire avancer les choses.
Laisser les trous de sécu pour juste garder la compat IE6.... C'est un
corresponds franchement a une non évolution des techno... Sinon dans ce
cas là il faut laisser aussi les sites gopher:// ?
/Xavier
--
Xavier Beaudouin
_______________________________________________
Liste de diffusion du FRsAG
http://www.frsag.org/
