| Visualizza argomento precedente :: Visualizza l'argomento successivo |
| Autore |
Messaggio |
mario Site Admin

Iscritto: 03 ottobre 2006 Messaggi: 7366
|
Inserito: mercoledì 09 aprile 2014 11:45 Oggetto del messaggio: Vulnerabilità SSL Heartbleed |
|
|
Gixen non è interessato dalla vulnerabilità Heartbleed SSL, poiché i server front-end di Gixen eseguono versioni di OpenSSL che non sono vulnerabili e sono, di fatto, più vecchie delle versioni interessate. Li aggiornerò comunque all'ultima versione nel prossimo futuro.
Non sono sicuro se eBay stesso sia interessato, poiché non conosco la natura dei server front-end di eBay. Credo che fossero basati su Microsoft (IIS), ma potrebbe essere cambiato, poiché non si identificano più. Aspetterò che eBay stesso abbia voce in capitolo. |
|
| Torna in alto |
|
 |
Cupido

Iscritto: 09 agosto 2007 Messaggi: 8197 Località: Bristol, Regno Unito
|
Inserito: mercoledì 09 aprile 2014 12:43 Oggetto del messaggio: |
|
|
Grazie per questo annuncio Mario, e complimenti per aver indagato e assicurato gli utenti prima ancora che la maggior parte fosse a conoscenza della possibilità di un problema.
Ciò dimostra che trovarsi in quella che un tempo chiamavamo l'"avanguardia" non è il posto giusto per servizi consolidati come Gixen... utilizzare ciò che è stato provato e testato per un lungo periodo e non effettuare l'aggiornamento il prima possibile (a meno che le nuove funzionalità non siano essenziali) è sempre la strategia migliore, a mio modesto parere.
Sembra un grosso pasticcio da parte del team OpenSSL... il fatto che non sia stato rilevato per due anni lo rende ancora più scioccante. _________________ Mark |
|
| Torna in alto |
|
 |
mario Site Admin

Iscritto: 03 ottobre 2006 Messaggi: 7366
|
Inserito: mercoledì 09 aprile 2014 12:58 Oggetto del messaggio: |
|
|
Marchio,
Ad essere completamente onesto, comunque non ho mai riposto molta fiducia in SSL. Se si guarda al passato (vedi link sotto), sembra che solo di recente si possa presumere che SSL/TLS sia sicuro, con la corretta combinazione di versione e cifratura.
https://en.wikipedia.org/wiki/Transport_Layer_Security#Cipher
Non sarei sorpreso che le organizzazioni di sicurezza che dispongono di know-how e risorse possano leggerlo senza sforzo.
Mi sento molto più sicuro delle misure di sicurezza di eBay che di SSL. In altre parole, quali azioni può compiere un intruso se possiede già le mie credenziali eBay che potrebbero danneggiarmi? Grazie alle misure di sicurezza di eBay, non molto, o almeno non molto senza che me ne accorga e venga avvisato. |
|
| Torna in alto |
|
 |
|