2009/11/10 Roberto Resoli <roberto.resoli@xxxxxxxxx>: > Il 10 novembre 2009 12.34, Byte Surfer <bsurfer@xxxxxxxxxx> ha scritto: >> >> On 10/nov/09, at 06:54, Roberto Resoli wrote: >> >>> Dalla notizia su punto informatico. >>> ---- >>> Come spiegato dai due esperti di sicurezza in questo articolo, >>> >>> http://www.phonefactor.com/sslgap/ >> >> <CUT> >> >> interessante, >> >> OpenSSL ha disponibile un work-around > > A new version of OpenSSL (OpenSSL 0.9.8l) has been released, which > removes SSL/TLS renegotiation. While this is not a fix for the for the > SSL/TLS protocol vulnerability, it does mitigate against the resulting > authentication gap. > > eliminare la rinegoziazione è una cosa ben pesante .... > prevedo problemi. nel frattempo è stata proposta anche una modifica al protocollo: https://datatracker.ietf.org/drafts/draft-rescorla-tls-renegotiation/ (ammesso che vi fidiate ancora di ssl ;-) ) rob > ciao, > rob > -- Per iscriversi (o disiscriversi), basta spedire un messaggio con OGGETTO "subscribe" (o "unsubscribe") a mailto:linuxtrent-request@xxxxxxxxxxxxx