Forum List Message List New Topic Print View

Maxim Dounin

October 17, 2014 09:26AM

Hello!

On Fri, Oct 17, 2014 at 02:34:38PM +0300, Gena Makhomed wrote:

> On 16.10.2014 23:36, Maxim Dounin wrote:
>
> >>>>>Мысль убрать SSLv3 по умолчанию носится в воздухе,
> >>>>>но я пока не уверен в правильности этого действия.
> >>>>
> >>>>Древней версии IE 6.0 много только в Китае:
> >>>>https://www.modern.ie/en-us/ie6countdown
> >>>
> >>>SSLv3 - это, как показывает практика, не только IE6. Только в
> >>>рамках нашего маленького офиса уже есть жертвы - у коллеги
> >>>отвалился IRC-клиент в связи с запретом SSLv3 на серверной
> >>>стороне. При этом более или менее очевидно, что проблемы
> >>>при использовании IRС - нет.
>
> Разве IRC-клиент подключается к nginx по протоколу http/https?

Это к вопросу о том, что запрет SSLv3 имеет смысл не всегда, и
может выйти боком в самых неожиданных местах.

[...]

> Может ли nginx определить, что к нему пытаются подключиться по SSLv3,
> и в этом случае обработать запрос клиента в другом server,
> в котором вместо сайта будет инструкция по включению TLSv1
> в настройках клиентского браузера (Internet Explorer 6.0)
> или рекомендация обновить браузер / обновить антивирус ?

Есть переменная $ssl_protocol, по которой можно сделать
условную обработку, и показать желаемую страницу. Документация
доступна по адресу http://nginx.org/r/$ssl_protocol.

[...]

> >Но, если проблема fallback'а таки будет решена, то нет особых
> >причин это делать рано.
>
> Кроме самых новых версий Firefox/Chrome на руках и пользователей
> остается ведь очень много и других, более старых версий браузеров.
> Которые умеют TLSv1 и которым для нормальной работы не нужен SSLv3.

Браузер, который не обновляют - это браузер, рассматривать который
с точки зрения безопасности достаточно бессмысленно, он всё равно
дыряв, так или иначе. И хорошо, если в качестве дырки будет
выступать POODLE, а не remote code execution.

С точки зрения безопасности имеет смысл рассматривать только
актуальные версии современных браузеров. И тут уже, судя по
всему, проблема решена как минимум в Chrome и Opera[1], и скоро
будет решена в Firefox. Ждём Safari и IE.

[1] http://blogs.opera.com/security/2014/10/security-changes-opera-25-poodle-attacks/

--
Maxim Dounin
http://nginx.org/

_______________________________________________
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru

Reply Quote

RSS

Subject	Author	Posted
CVE-2014-3566, important SSLv3 vulnerability, known as Poodle.	Gena Makhomed	October 15, 2014 09:06AM
Re: CVE-2014-3566, important SSLv3 vulnerability, known as Poodle.	Maxim Dounin	October 15, 2014 09:34AM
Re: CVE-2014-3566, important SSLv3 vulnerability, known as Poodle.	Gena Makhomed	October 15, 2014 12:08PM
Re: CVE-2014-3566, important SSLv3 vulnerability, known as Poodle.	Maxim Dounin	October 15, 2014 01:42PM
Re: CVE-2014-3566, important SSLv3 vulnerability, known as Poodle.	Илья Шипицин	October 16, 2014 12:08AM
Re: CVE-2014-3566, important SSLv3 vulnerability, known as Poodle.	mente	October 16, 2014 04:16AM
Re: CVE-2014-3566, important SSLv3 vulnerability, known as Poodle.	Maxim Dounin	October 16, 2014 09:46AM
Re: CVE-2014-3566, important SSLv3 vulnerability, known as Poodle.	Gena Makhomed	October 16, 2014 03:50PM
Re: CVE-2014-3566, important SSLv3 vulnerability, known as Poodle.	Gena Makhomed	October 16, 2014 03:18PM
Re: CVE-2014-3566, important SSLv3 vulnerability, known as Poodle.	Maxim Dounin	October 16, 2014 04:38PM
Re: CVE-2014-3566, important SSLv3 vulnerability, known as Poodle.	Gena Makhomed	October 17, 2014 07:36AM
Re: CVE-2014-3566, important SSLv3 vulnerability, known as Poodle.	Maxim Dounin	October 17, 2014 09:26AM
Re: CVE-2014-3566, important SSLv3 vulnerability, known as Poodle.	Gena Makhomed	October 19, 2014 12:56PM
Re: CVE-2014-3566, important SSLv3 vulnerability, known as Poodle.	Maxim Dounin	October 20, 2014 12:16AM
Re: CVE-2014-3566, important SSLv3 vulnerability, known as Poodle.	mva	October 20, 2014 01:28AM
Re: CVE-2014-3566, important SSLv3 vulnerability, known as Poodle.	Илья Шипицин	October 20, 2014 04:40AM
Re: CVE-2014-3566, important SSLv3 vulnerability, known as Poodle.	Илья Шипицин	October 16, 2014 12:06AM
Re[2]: CVE-2014-3566, important SSLv3 vulnerability, known as Poodle.	Михаил Монашёв	October 16, 2014 04:06AM
Re: CVE-2014-3566, important SSLv3 vulnerability, known as Poodle.	Илья Шипицин	October 20, 2014 04:48AM
Re: CVE-2014-3566, important SSLv3 vulnerability, known as Poodle.	Aleksandr Sytar	October 16, 2014 07:36AM
Re: CVE-2014-3566, important SSLv3 vulnerability, known as Poodle.	igor.goncharenko	October 17, 2014 03:37AM
Re: CVE-2014-3566, important SSLv3 vulnerability, known as Poodle.	Maxim Dounin	October 17, 2014 09:26AM

Sorry, only registered users may post in this forum.

Click here to login

Online Users

Guests: 303

Record Number of Users: 8 on April 13, 2023

Record Number of Guests: 421 on December 02, 2018