2014/10/15
Google anuncia o início do fim do SSL 3.0 com o POODLE
Sabendo-se que todas as comunicações na Internet podem ser interceptadas, é de importância crítica haver sistemas que permitam garantir a segurança dos dados mesmo quando são enviados através de pontos potencialmente inseguros (daí o recurso ao HTTPS e afins.) Mas isso não evita que estes próprios sistemas que deveriam garantir a segurança possam ter vulnerabilidades - como aconteceu recentemente com o OpenSSL - e como acontece agora o o SSL versão 3.0.
O Google descobriu uma vulnerabilidade no SSL 3.0 a que chamou POODLE, e que permite que atacantes possam decifrar dados enviados usando estas comunicações - potenciando coisas como a captura dos cookies que os identificam nos diversos serviços online.
Importa referir que o SSL 3.0 é um sistema que já tem mais de uma década e está praticamente obsoleto, actualmente optando-se por sistemas mais seguros como o TLS; mas a maioria dos browsers ainda o suporta como modo de garantir a compatibilidade com servidores mais antigos. É precisamente isso que pode ser ser usado por um atacante, causando erros de ligação de modo a que o browser desça o nível de segurança para o SSL 3.0 e assim aproveitar-se desta vulnerabilidade. (Curiosamente, o Google tinha estas opções disponíveis no painel de controlo do Chrome, mas teve que as retirar devido aos utilizadores que optavam por usar o SSL 3.0 em vez do mais avançado TLS 1.0, por este ter "versão superior".)
O Google planeia retirar completamente o suporte ao SSL 3.0 nos próximos meses, sendo que isso poderá causar alguns problemas em sites mais antigos, que terão que se actualizar; e também a Mozilla vai fazer o mesmo no seu Firefox.
Subscrever:
Enviar feedback (Atom)
Erro: s/TSL/TLS/g
ResponderEliminar