[Linuxtrent] Re: Scoperta falla nel protocollo SSL
- From: Roberto Resoli <roberto.resoli@xxxxxxxxx>
- To: linuxtrent@xxxxxxxxxxxxx
- Date: Tue, 10 Nov 2009 14:48:18 +0100
2009/11/10 Roberto Resoli <roberto.resoli@xxxxxxxxx>:
> Il 10 novembre 2009 12.34, Byte Surfer <bsurfer@xxxxxxxxxx> ha scritto:
>>
>> On 10/nov/09, at 06:54, Roberto Resoli wrote:
>>
>>> Dalla notizia su punto informatico.
>>> ----
>>> Come spiegato dai due esperti di sicurezza in questo articolo,
>>>
>>> http://www.phonefactor.com/sslgap/
>>
>> <CUT>
>>
>> interessante,
>>
>> OpenSSL ha disponibile un work-around
>
> A new version of OpenSSL (OpenSSL 0.9.8l) has been released, which
> removes SSL/TLS renegotiation. While this is not a fix for the for the
> SSL/TLS protocol vulnerability, it does mitigate against the resulting
> authentication gap.
>
> eliminare la rinegoziazione è una cosa ben pesante ....
> prevedo problemi.
nel frattempo è stata proposta anche una modifica al protocollo:
https://datatracker.ietf.org/drafts/draft-rescorla-tls-renegotiation/
(ammesso che vi fidiate ancora di ssl ;-) )
rob
> ciao,
> rob
>
--
Per iscriversi (o disiscriversi), basta spedire un messaggio con OGGETTO
"subscribe" (o "unsubscribe") a mailto:linuxtrent-request@xxxxxxxxxxxxx
Other related posts:
