Il problema non sono i siti che usano SSLv3 ma quelli che, tramite MiTM, possono essere convinti a farlo.
Leonardo Il giorno 16 ottobre 2014 18:18, Fabio <[email protected]> ha scritto: > A me non sembra così preoccupante. Se è vero dai dati che ho letto che > lo 0,65% dei siti usa SSLv3, di che stiamo parlando? Oltretutto dai > rumors creati fino ad oggi, credo e spero che molti già abbiano "patchato". > > Il workaround per eliminare il problema è applicabile modificando un > config. > > Quindi non richiede l'attesa di release particolari, di chissà quale > pacchetto. Parliamo di un protocollo in fase di dismissione che se fosse > eliminato non dovrebbe arrecare danni dal punto di vista della > compatibilità con i client. > > Ci sono altri aspetti da considerare? > > IMHO, i paragoni con heartbleed sono un tantino esagerati. > > > -- > Fabio Natalucci > Ethical Hacker & IT Security Specialist > PGP key 0x1932A2A4 > Fingerprint 4C27 053D 5D0A C7CD 01C9 9F2C 997B 3E44 1932 A2A4 > > > ________________________________________________________ > http://www.sikurezza.org - Italian Security Mailing List > >
