Resultados 1 a 9 de 9
  1. #1
    WHT-BR Top Member
    Data de Ingresso
    Dec 2010
    Localização
    /sc/rionegrinho
    Posts
    1,036

    Um POODLE maluco no pedaço!

    Certamente vocês já viram, mas como ainda não temos nenhum post aqui no forum...

    O Google descobriu uma vulnerabilidade em uma versão mais antiga do SSL, protocolo cuja função é manter protegido o que fazemos na web. Isso não está causando níveis Heartbleed de pânico, mas é uma notícia desconcertante.
    O blog de segurança da Google explica detalhes sobre o bug, que eles estão chamando de POODLE:
    Hoje estamos publicando detalhes sobre uma vulnerabilidade no design do SSL versão 3.0. Ela permite que o plaintext [texto claro/aberto] de conexões seguras seja calculado por um hacker de rede.
    Isso significa que hackers podem quebrar a criptografia de cookies HTTP “seguros”, revelando a atividade do usuário naquele determinado site.
    Para isso acontecer, no entanto, é preciso que ele obrigue seu navegador a se conectar via SSL 3.0, que usa uma criptografia criada em 1987. Apesar de ser repleta de brechas, ela ainda é amplamente usada: a Microsoft disse no final de 2013 que 40% das conexões web ainda usavam essa criptografia.
    No geral, os sites utilizam a tecnologia Transport Layer Security (TLS) para proteger seus dados, que não é afetada por essa falha. Mas vários sites continuam a ser compatíveis com SSL 3.0, para funcionarem em sistemas mais antigos.
    E agora? O Google recomenda desativar esse fallback para o SSL 3.0 nos servidores e diz que, nos próximos meses, vai remover essa tecnologia do Chrome. A Mozilla, por sua vez, avisou que o SSL 3.0 será desativado por padrão no Firefox 34, a ser lançado no final de novembro.
    [...]
    Eis o CVE: http://cve.mitre.org/cgi-bin/cvename...=CVE-2014-3566
    Um membro no WHT disse que quebra a compatibilidade atual do FF: http://www.webhostingtalk.com/showthread.php?p=9264208
    E a LiquidWeb passa um tutorial para desativar o SSLv3 no cPanel: http://www.liquidweb.com/kb/how-to-d...r-from-poodle/

    E aí, o que vocês acham disso?
    Alexandre Silva Hostert

    Veezon
    Gerenciamento de Servidores


    http://veezon.com.br
    http://br.linkedin.com/in/alexandreveezon

  2. #2
    WHT-BR Top Member
    Data de Ingresso
    Dec 2010
    Localização
    /sc/rionegrinho
    Posts
    1,036
    Testes podem ser feitos no https://www.ssllabs.com/ssltest/
    Alexandre Silva Hostert

    Veezon
    Gerenciamento de Servidores


    http://veezon.com.br
    http://br.linkedin.com/in/alexandreveezon

  3. #3
    WHT-BR Top Member
    Data de Ingresso
    Jul 2011
    Posts
    1,038
    A gente já estava com SSLv3 desabilitado desde a mesma época do Heartbleed, e ninguém reclamou. Desligue sem dó... até mesmo gente com Windows XP e Internet Explorer, desde que atualize para o IE8, consegue usar TLS.

  4. #4
    Web Hosting Master
    Data de Ingresso
    Apr 2012
    Posts
    667
    esse tempos fui em um cliente e saí de lá triste, um monte de computadores novos rodando winxp com ie6 por causa de um sistema deles que roda em activex..

    eu tive até que parar de usar SNI porque comecei a receber reclamações por causa de uma tecnologia de uns 14 ou 15 anos atrás!

  5. #5
    WHT-BR Top Member
    Data de Ingresso
    Jul 2011
    Posts
    1,038
    Citação Postado originalmente por inter Ver Post
    esse tempos fui em um cliente e saí de lá triste, um monte de computadores novos rodando winxp com ie6 por causa de um sistema deles que roda em activex..

    eu tive até que parar de usar SNI porque comecei a receber reclamações por causa de uma tecnologia de uns 14 ou 15 anos atrás!
    Tem clientes que é mais caro mantê-los como clientes. Drop.

  6. #6
    Moderador
    Data de Ingresso
    Oct 2010
    Localização
    Rio de Janeiro
    Posts
    2,679
    Citação Postado originalmente por inter Ver Post
    esse tempos fui em um cliente e saí de lá triste, um monte de computadores novos rodando winxp com ie6 por causa de um sistema deles que roda em activex..

    eu tive até que parar de usar SNI porque comecei a receber reclamações por causa de uma tecnologia de uns 14 ou 15 anos atrás!
    Como disse o Rubens, é mais caro mantê-los como clientes. Ou você sobre o preço e os deixa numa VM separada, ou dá tchauzinho.

  7. #7
    Web Hosting Master
    Data de Ingresso
    Apr 2012
    Posts
    667
    hahaha, desculpa por mudar o foco do assunto principal.

    Vocês já testaram o tal bug que ao desabilitar o ssl3 o firefox da erro de certificado? Eu não to afim de testar em produção

  8. #8
    Aspirante a Evangelist
    Data de Ingresso
    Nov 2010
    Posts
    441
    Citação Postado originalmente por inter Ver Post
    hahaha, desculpa por mudar o foco do assunto principal.

    Vocês já testaram o tal bug que ao desabilitar o ssl3 o firefox da erro de certificado? Eu não to afim de testar em produção
    Eu vi isto falando no forum cPanel gringo, parece que é pau do firefox mesmo, não faz conexão TSL se eu não me engano...(ou falei *****? dhusahudsa).
    Eu pensei em desabilitar o ssl3 no meu servidor também, mas to com esse pé atrás por causa disto.

  9. #9
    WHT-BR Top Member
    Data de Ingresso
    Dec 2010
    Localização
    /sc/rionegrinho
    Posts
    1,036
    É, pelo que eu li, ele vai dar problema. Depois de testar eu posto o resultado aqui. Mas não vai ser hoje, nem amanhã e muito menos domingo
    Alexandre Silva Hostert

    Veezon
    Gerenciamento de Servidores


    http://veezon.com.br
    http://br.linkedin.com/in/alexandreveezon

Tags para este Tópico

Permissões de Postagem

  • Você não pode iniciar novos tópicos
  • Você não pode enviar respostas
  • Você não pode enviar anexos
  • Você não pode editar suas mensagens
  •