In sei settimane Google stanno rilasciando nuova versione del loro browser per impedire Basandosi su un Bug nel SSL 3.0 Certificato.
Come abbiamo scritto all'inizio di questo mese Google scoperto un flusso nel SSL 3.0 certificato di siti web e server che consentono agli aggressori di rubare informazioni dagli utenti. Il difetto trovato è ufficialmente chiamato Imbottitura Oracle On degradata crittografia Legacy (BARBONCINO). Ciò che fa è che consente agli hacker di rubare informazioni e cookie degli utenti dal cosiddetto Man-in-the-Middle (MITM) tecnica, basandosi su connessioni non sicure dove si conducono gli utenti possono rientrare nuovamente in versioni precedenti, come il certificato di cui sopra.
Google ha annunciato che sarà il rilascio di una nuova versione del proprio browser Chrome in sei settimane per rimuovere quel difetto. La capacità della versione del nuovo browser per ripiegare su server errati o buggy sarà disattivata per impostazione predefinita.
'SSLv3-fallback è necessaria solo per supportare i server buggy HTTPS. I server che supportano correttamente solo SSLv3 continuerà a lavorare (per ora) ma alcuni server buggy possono smettere di funzionare. La risposta in questi casi è quello di fissare il server — TLS 1.0 è quasi 15 anni a questo punto ', Adam Langley, un ingegnere della sicurezza di Google, detto in un post annunciando il rilascio.
Non avendo il tempo per tradurre l'errore per gli utenti che cadono di nuovo ai server buggy, La versione di Chrome 39 mostrerà solo un messaggio di errore 'ERR_SSL_FALLBACK_BEYOND_MINIMUM_VERSION’ identificare il problema. Un distintivo giallo nella barra degli indirizzi del browser avviserà gli utenti quando entrano in luoghi di lavoro con SSL 3.0 e questi dovranno essere aggiornati per almeno TLS 1.0 prima di Chrome 40 viene rilasciato.
→'Tuttavia, la mancanza di un distintivo giallo non significa che tutto andrà bene come ci potrebbe essere ancora subresources della pagina che vengono serviti su connessioni SSLv3. Gli sviluppatori possono funzionare con Chrome –ssl-version-min = TLS1 al fine di testare i loro siti '., Post di Langley continua.
Google Chrome 40 si dovrebbe essere rilasciato in dodici settimane, i.e. 6 settimane dopo il rilascio di Chrome 39 e SSL 3.0 sostegno sarà completamente rimosso nel suo codice. Questo è a condizione che tutti i server vengono aggiornati a TLS 1.0 versione, almeno per allora se.
'Con il tempo, Supporto client SSLv3 verrà rimosso dal codice, quindi chiunque ri-abilitazione SSLv3 e / o fallback per via della politica, opzioni della riga di comando o su:bandiere non devono essere considerate che come una soluzione a lungo termine. ", mette in guardia il posto.
All'inizio di questo mese, al fine di prevenire gli attacchi POODSLE Mozilla ha anche annunciato che sarà il rilascio di una nuova versione del browser - Mozilla 34. Si è dovuto novembre 25.
Gli utenti che lavorano con Microsoft Internet Explorer possono applicare una correzione per evitare che il problema, seguente Guida Microsofts qui.
Tuttavia, utilizzando connessioni VPN sicure, specialmente in luoghi pubblici, rimane la migliore protezione contro questi attacchi.
