Facebook Twitter Youtube

Questo sito contiene link di affiliazione per cui può essere compensato

Home » Hi-Tech » Internet » Individuata una nuova falla nel protocollo SSL
InternetNews

Individuata una nuova falla nel protocollo SSL

Di Mauro Notarianni

Una falla ribattezzata POODLE (“barboncino” e acronimo di Padding Oracle On Downgraded Legacy Encryption) è stata individuata nel protocollo SSL. La vulnerabilità potrebbe essere sfruttata per eseguire attacchi “man in the middle”, facili da portare a termine se vittima e aggressore sono sulla stessa rete WiFi. La scoperta è dei dipendenti di Google Bodo Möller, Thai Duong e Krzysztof Kotowicz; Duong è noto per avere scoperto insieme a Juliano Rizzo la falla denominata BEAST nel 2011 e CRIME nel 2012.

L’attacco sfrutta la possibilità che molti web server e browser web offrono di usare ancoa il vecchio protocollo SSL versione 3 per mettere al sicuro le comunicazioni. Benché l’SSL sia stato sostituito dal Transport Layer Security, è ancora supportato da server e client, ed è richiesto, ad esempio, per offrire la compatibilità con Internet Explorer 6. L’SSLv3, al contrario del TLS 1.0 o successivi, omette la validazione di alcuni dati che accompagnano ciascun messaggio; gli attaccker potrebbero sfruttare tale vulnerabilità per decifrare singoli byte alla volta di dati cifrati, estraendo il testo in chiaro del messaggio byte dopo byte.

Il bug non è grave quanto Heartbleed, ma è rilevante giacché l’SSL è un protocollo usato per proteggere i dati in transito tra un sito web e gli utenti; se viene compromesso, anche i dati degli utenti potrebbero essere a rischio. Gli amministratori di sistema dovranno aggiornare i vecchi protocolli usati sui server passando a TSL 1.0 o release ancora più nuove: questo infatti esegue verifiche più robuste, non suscettibili ai problemi del protocollo più vetusto. Società come CloudFlare hanno già annunciato di aver disabilitato per default l’SSLv3 dai propri server e probabilmente anche altre faranno lo stesso. A detta di CloudFlare solo lo 0.65% del suo traffico HTTPS sfruttava a ogni modo SSLv3. Mozilla ha fatto sapere che disabiliterà automaticamente il supporto a SSLv3 con l’update a Firefox 34; è probabile che altri sviluppatori di browser attiveranno update con impostazioni specifiche.

Brbonc

Segui Macitynet su Google News

Offerte Apple e Tecnologia

Le offerte dell'ultimo minuto le trovi nel nostro canale Telegram

Iscriviti

I consigli per i tuoi regali

CTA Natale iGuida [per Settimio] - macitynet.it
iGuide per i regali di Natale - macitynet..ti

Ogni anno testiamo le ultime novità del mercato, per poi raccogliere in articoli dedicati i migliori prodotti per ogni categoria. Queste guide, che aggiorniamo periodicamente, non solo vi permettono di migliorare la vostra attrezzatura ma, visto il periodo, diventano anche un ottimo spunto da cui partire per fare un regalo coi fiocchi ai propri cari.

A tal proposito le trovate organizzate qui sotto per tipologia, così da facilitarvi ulteriormente la ricerca del Regalo Perfetto. Le guide vengono modificate di continuo e fino a Natale vedrete man mano aggiungersi quelle che aggiorneremo.

Partiamo dai migliori:

iPhone e Smartphone

iPad e tablet

Mac e PC

Fotografia e Creatività

Viaggiaresmart

Audio e Video

Intrattenimento

Articolo precedente
Facebook, gli adesivi arrivano anche nella timeline
Articolo successivo
Addio alla “double Irish” la scappatoia fiscale cara alle imprese hi-tech

Altri articoli

Pubblicità
Pubblicità

Ultimi articoli

2025 © Copyright Casa Editrice Macity Publishing srl.
Testata giornalistica registrata al R.O.C.