2014-04-13 13:19 GMT+02:00 Claudio Telmon: [...] > Al riguardo, un dubbio che ho da quando si discute questo baco è: su > grosse infrastrutture, non è normale fare l'offload della gestione > dell'SSL su macchine dedicate o almeno su reverse proxy o bilanciatori?
Queste macchine - sia in HW che in SW - molto spesso ripacchettizzano OpenSSL in ogni caso. Per esempio, Cisco e Juniper hanno sofferto della stessa vulnerabilità, e F5 è vulnerabile se hai usato la "compat SSL" library. Si veda qua: http://tinyurl.com/nkpfrug Inoltre, aziende come Google o Facebook non usano questo tipo di bilanciatori hardware, ma usano strumenti open source. > In questo caso, la "densità di informazione utile" in memoria, in > termini di chiavi, cookies e simili dovrebbe essere molto alta su questi > sistemi, che sarebbero quelli vulnerabili, mentre invece le password > dovrebbero essere meno comuni. Al contrario su infrastrutture più > piccole. Sbaglio? Sono d'accordo. Potenzialmente, un off-loader per SSL potrebbe essere condiviso da decine di siti nella stessa infrastruttura. Ho anche visto casi di certificati usati tramite SaN per dozzine di siti web - vedi per esempio qua: https://www.ssllabs.com/ssltest/analyze.html?d=infosec.co.uk&s=174.35.30.235 - quindi immagina il danno se questo certificato viene compromesso... sono pratiche non molto intelligenti secondo la mia opinione personale. In alcuni casi, bilanciatori "intelligenti" (es. F5) possono anche fare l'autenticazione, per cui potrebbero anche contenere username/password. Cordiali saluti -- Marco Ermini root@human # mount -t life -o ro /dev/dna /genetic/research http://www.linkedin.com/in/marcoermini "Jesus saves... but Buddha makes incremental back-ups!" ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
