Annata interessante per le sicurezze dei server, della rete, delle cose che sulla carta dovrebbero assicurare sicurezza per le transazioni crittografate e invece proprio
queste sono state messe sotto attacco ed usate dagli idioti del mondo.
Forse fu proprio questo bug a dar modo all'idiota di turno di riuscire a rubare a GMAIL 25.000.000 di dati (logine password) e mettere su un forum russo...lo sapevate questo?
La notizia del nuovo BUG arriva dal Blog di Google. Gli esperti spiegano che nonostante il protocollo SSL 3.0 (questo il nome della versione incriminata) abbia gi 15 anni e non sia da tempo il principale standard di criptazione, ancora supportato sia dai siti che dai browser, dove necessita di essere disabilitato.Al momento lo standard attuale e pi sicuro di crittografia ilTLS. In caso per non riesca una connessione con un server Https - a differenza dell'Http indica una comunicazione crittografata - il sistema ritenta di connettersi usando versioni sempre pi vecchie del protocollo, arrivando fino a quella incriminata.
Vista la vulnerabilit la falla pu essere sfruttata per accedere ad informazioni crittografate, ad esempio una transazione bancaria.

Noi usavamo gi TLS il problema pi dei browser che non supportano TLS come Firefox il quale andava a cercare una versione pi datata...Adesso SSLV3 andr a morire da quanto sembra pertanto eventualmente cambiate browser se FireFox non apre un sito con ssl

Come fare per difendersi?Google assicura che gi nei prossimi mesi eliminer il supporto a questo protocollo e nel frattempo spiega la procedura per disabilitarlo manualmente suChrome. La disabilitazione possibile anche suExplorerdi Microsoft. E pure Mozilla ha pubblicato una nota in cui spiega cheFirefoxusa il protocollo SSL 3.0 solo nello 0,3% delle connessioni Https e che il supporto sar eliminato nella prossima versione in arrivo il 25 novembre.

Il problema adesso nasce che non essendoci il supporto SSLv3 sui server (chi li st aggiornando), chi usa un browser per connettersi a webmail, siti con ssl, questi non li vedr e la colpa a chi andr? immaginiamolo!

I browser belli belli ti dicono che il certificato valido ma ci che st sotto al medesimo, come abbiamo sempre detto, quello che conta. I browser danno valido i certifcati non in base alla crittografia bens alla commerciabilit di quel certificato e non auto signed...

Al momento abbiamo a seguito info da Cpanel operato per tutto ci che ci era possibile (smtp, imap, apache). Siamo in attesa di info ulteriori ufficiali.

Buona continuazione di anno...

ps: cerchiamo di tenere aggiornati gli antivirus, i pc, tutto e verifichiamo i pc....e smettiamola di scaricare di tutto...



Friday, October 17, 2014

« Indietro