A me non sembra così preoccupante. Se è vero dai dati che ho letto che lo 0,65% dei siti usa SSLv3, di che stiamo parlando? Oltretutto dai rumors creati fino ad oggi, credo e spero che molti già abbiano "patchato".
Il workaround per eliminare il problema è applicabile modificando un config. Quindi non richiede l'attesa di release particolari, di chissà quale pacchetto. Parliamo di un protocollo in fase di dismissione che se fosse eliminato non dovrebbe arrecare danni dal punto di vista della compatibilità con i client. Ci sono altri aspetti da considerare? IMHO, i paragoni con heartbleed sono un tantino esagerati. -- Fabio Natalucci Ethical Hacker & IT Security Specialist PGP key 0x1932A2A4 Fingerprint 4C27 053D 5D0A C7CD 01C9 9F2C 997B 3E44 1932 A2A4 ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
