On 17.10.2014 16:24, Maxim Dounin wrote:
Кроме самых новых версий Firefox/Chrome на руках и пользователей
остается ведь очень много и других, более старых версий браузеров.
Которые умеют TLSv1 и которым для нормальной работы не нужен SSLv3.
Браузер, который не обновляют - это браузер, рассматривать который
с точки зрения безопасности достаточно бессмысленно, он всё равно
дыряв, так или иначе. И хорошо, если в качестве дырки будет
выступать POODLE, а не remote code execution.
С точки зрения безопасности имеет смысл рассматривать только
актуальные версии современных браузеров. И тут уже, судя по
всему, проблема решена как минимум в Chrome и Opera[1], и скоро
будет решена в Firefox. Ждём Safari и IE.
[1]
http://blogs.opera.com/security/2014/10/security-changes-opera-25-poodle-attacks/
Почему оставление включенным по умолчанию уязвимого протокола SSLv3
выглядит более предпочитетельным вариантом, если "с точки зрения
безопасности" старых версий браузеров как бы и не существует?
Буква 'S' в аббревиатурах "HTTPS" и "SSL" обозначает слово "Secure".
Разве не лучше сделать сброс подключения по протоколу SSLv3 вместо
того, чтобы делать вид, что обмен данными между клиентом и сервером
надежно зашифрован и скрыт от посторонних глаз. Ведь там могут быть,
например, данные кредитных карт или другая sensitive information,
которая крайне не желательна к попаданию в руки man-in-the-middle.
--
Best regards,
Gena
_______________________________________________
nginx-ru mailing list
[email protected]
http://mailman.nginx.org/mailman/listinfo/nginx-ru
