On 21.10.2014 14:09, Jacek Konieczny wrote:
On 21/10/14 13:58, Adam Osuchowski wrote:
Tak nie może być. To, że SSL2 i SSL3 są niebezpieczne nie oznacza, że
należy od razu wywalić dla nich support. Te opcje usuwają również możliwość
łączenia się z klienta s_client za pomocą SSL2/SSL3, a to jest potrzebne,
chociażby po to, żeby sprawdzić czy dany serwis nie obsługuje przez
przypadek SSL2/SSL3 (że nie wspomnę o tym, że część usług jeszcze chodzi
na SSL3). Zresztą w przypadku serwera wywalanie tego też jest bez sensu,
z analogicznych powodów. Ograniczanie dostępności protokołów powinno mieć
miejsce na poziomie konfiguracji aplikacji, a nie fizycznym wywaleniu
supportu z biblioteki.
+1
Też mi się ten commit nie podobał… powiedziałbym, że to wręcz szalony
pomysł.
Biblioteka powinna implementować wszystkie protokoły i szyfry jakie
umie, konfiguracja klientów i serwerów (także ta za-hard-kodowana w
nich) dopiero może to ograniczać.
Jedyne co można by, ewentualnie, w openssl zmienić do domyślny wybór
protokołów i szyfrów. Ale i to może być ryzykowne – jak potem
wytłumaczyć klientowi fakt, że coś „działało, a już nie działa”.
Oooo to to to,
i jeszcze - "a inne serwisy nadal działają więc co mi pan tu p..."
Już kilka telefonów dziś miałem.
BTW:IE7 i IE8 na XP nie działają z nowym opensslem...
Tak wiem, stare itd itd ale nie mam wpływu na nie swoje komputery, a z
Don Kichotem nie jestem.
--
Andrzej Zawadzki
_______________________________________________
pld-devel-pl mailing list
[email protected]
http://lists.pld-linux.org/mailman/listinfo/pld-devel-pl
