2009/11/7 Michele Mordenti: [...] > Nell'articolo si parla di un buco nel "client certificate > authentication", potrebbe compromettere l'autenticazione tramite > smartcard?
L'articolo di P.I. purtroppo, come a volte capita, non è molto preciso. La vulnerabilità è nel protocollo TLS/SSLv3 stesso e non si applica soltanto in caso di uso di client certificates, né soltanto all'HTTP, anche se questo è ciò che ha spinto a rendere pubblico il caso. OpenSSL ha fornito un workaround nel suo repository SVN (che francamente io non userei per il momento, anche perché disabilita completamente la rinegoziazione dei cipher...), nel frattempo è già stato pubblicato un draft di proposta per modificare il protocollo TLS/SSLv3: https://svn.resiprocate.org/rep/ietf-drafts/ekr/draft-rescorla-tls-renegotiate.txt questo implicherà probabilmente l'aggiornamento di client e server TLS e sì, anche dei sistemi smartcard e simili - se si ritiene che si possa essere "sotto attacco". Si tenga presente che un attaccante deve mettersi nella condizione di "man in the middle" e in sostanza non può leggere lo stream, quello che può fare è iniettare qualcosa nella connessione stessa - che ovviamente non è una condizione che si desidera, ma in certi casi potrebbe non essere rilevante. Cordiali saluti -- Marco Ermini r...@human # mount -t life -o ro /dev/dna /genetic/research http://www.linkedin.com/in/marcoermini "Jesus saves... but Buddha makes incremental back-ups!" ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
