[elektro] Windows 10 első tapasztalatok

[SZIGETI Szabolcs]

Hali!


A szerver oldali javítás azt jelenti, hogy kikapcsolták az SSL-t.
Alaphelyzetben a böngésző meg a szerver letárgyalja, hogy melyik protokollt
használja, ebből az lesz, amit mindkettő támogat. Az a sérülékenység, amely
az SSL-nek betette az ajtót, a POODLE volt, ami arról szólt, hogy támadó
rávette a böngészőt, hogy "kapcsojon vissza" SSL-re. (Volt pár korábbi gond
is, pl. a Heartbleed hiba, amely egy hajmeresztően béna kódolási hiba volt
az egyik legnépszerűbb SSL könyvtárban, az OpenSSL-ben. Az azonban
implementációs hiba volt, viszont elterjedsége miatt és azért mert évekig
megvolt a hiba, nagyon nehéz volt mindenhol javítani, valószínűleg sok
régi, meg beágyazott rendszerben sosem lesz javítva, pedig durva volt. Volt
olyan sikeres támadás, amely távolról megszerezte a szerver privát(!)
kulcsát. Ezt a hibát szerver oldalon lehet javítani az OpenSSL
frissítésével).
A Poodle viszont arról szól, hogy kliens oldalon is ki kell kapcsolni az
SSL-t, mert a támadó kényszerítheti a visszakapcsolást erre és utána már
támadhatja. Az SSL felett eljárt az idő, Új implementációkban már a TLS 1.1
(legalább) javasolt, meglévőkben meg a korábbi protokllokat, TLS 1.0 és
SSL* ki kell kapcsolni. Sajnos ez nem mindig lehetséges, ha a böngésző
(vagy bármi más kliens ami csatlakozik a szerverhez) nem támogatja.

Szabolcs




> Igen, de azt szerver oldalon javították is, nem? Ha ezeket nem
> használjuk, akkor mi ven helyettük?
>
>