PROJET AUTOBLOG


Shaarli - Mitsu'liens

Site original : Shaarli - Mitsu'liens

⇐ retour index

SSLv3 Support Disabled By Default Due to POODLE Vulnerability

samedi 18 octobre 2014 à 11:04
Suite à la publication de la faille POODLE, CloudFlare a logiquement désactivé le support de SSLv3 sur son réseau (tout en permettant de le réactiver pour les comptes pro et business). Selon leurs stats, SSLv3 est causé avant tout par du trafic d'attaque, et de manière générale avec IE 6 sous Windows XP, qui a des parts de marché de 1,12%.

Bref, désactiver SSLv3 n'est pas un drame, ce n'est qu'une punition de plus pour les utilisateurs d'un navigateur cadavérique sur un système troué vieux de 12 ans (!). Si on veut conserver son matériel, on doit passer sous Xubuntu/Lubuntu ou autre système GNU/Linux maintenu ET léger.

À propos de POODLE: la récente déferlante de failles de sécurité concernant OpenSSL est une bonne chose: OpenSSL était beaucoup trop répandu par rapport à la capacité de son équipe de développement, les forks de l'équipe d'OpenBSD (LibreSSL) et Google (BoringSSL) permettent de ré-étudier le fonctionnent d'OpenSSL sur des bases "propres", identifier le code redondant ou vulnérable, rationaliser l'enfer de rétro-compatibilité d'OpenSSL, et faire progresser l'ensemble des implémentations. Malgré les apparences, OpenSSL pourrait très bien être l'implémentation la plus sécurisée maintenant, grâce à ce "passage à la loupe" de son code open-source, ce qui n'est pas possible avec les implémentations propriétaires de Microsoft ou Apple !

Côté utilisateurs et sysadmins, continuer à faire ce qu'il faut faire: update early, update often, update automatically.
(Permalink)