On 17.10.2014 16:24, Maxim Dounin wrote:

>> Кроме самых новых версий Firefox/Chrome на руках и пользователей
>> остается ведь очень много и других, более старых версий браузеров.
>> Которые умеют TLSv1 и которым для нормальной работы не нужен SSLv3.
>
> Браузер, который не обновляют - это браузер, рассматривать который
> с точки зрения безопасности достаточно бессмысленно, он всё равно
> дыряв, так или иначе. И хорошо, если в качестве дырки будет
> выступать POODLE, а не remote code execution.
>
> С точки зрения безопасности имеет смысл рассматривать только
> актуальные версии современных браузеров. И тут уже, судя по
> всему, проблема решена как минимум в Chrome и Opera[1], и скоро
> будет решена в Firefox. Ждём Safari и IE.
>
> [1] http://blogs.opera.com/security/2014/10/security-changes-opera-25-poodle-attacks/
>

Почему оставление включенным по умолчанию уязвимого протокола SSLv3
выглядит более предпочитетельным вариантом, если "с точки зрения
безопасности" старых версий браузеров как бы и не существует?

Буква 'S' в аббревиатурах "HTTPS" и "SSL" обозначает слово "Secure".

Разве не лучше сделать сброс подключения по протоколу SSLv3 вместо
того, чтобы делать вид, что обмен данными между клиентом и сервером
надежно зашифрован и скрыт от посторонних глаз. Ведь там могут быть,
например, данные кредитных карт или другая sensitive information,
которая крайне не желательна к попаданию в руки man-in-the-middle.

--
Best regards,
Gena

_______________________________________________
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru