POODLE: как обстоят дела на сегодня?

В 2014 году в протоколе SSL было обнаружено ряд уязвимостей: в частности, нашумевшая и достаточно широко освещаемая в СМИ уязвимость в протоколе SSLv3 POODLE (описание уязвимости от Google), появились описания конкретного варианта реализации атаки. Протокол SSLv3 признали устаревшим и небезопасным (SSL 3.0 [RFC6101] is an obsolete and insecure protocol). Ведущие производители веб-браузеров рекомендовали отключать SSLv3 и даже появился ресурс, посвященный именно тому, как отключить SSLv3 как на стороне браузера, так и на стороне веб-сервера. В новых версиях веб-браузеров (Firefox >34, Chrome >40, IE11 KB3038778) выключена поддержка SSLv3. Позже появилась новость, что POODLE-атаке подвержены и некоторые реализации протокола TLSv1 (использующие режим шифрования СВС). Ранее, в 2011 году на конференции в Сингапуре D.J.Bernstein продемонстрировал, что протоколы TLS и SSL, использующие шифр RC4, могут быть вскрыты.  В 2015 году Google объявила о прекращении поддержки шифров RC4 в своих продуктах (в том числе сервера и почта).  1 марта появилась новость о возможности реализации атаки на TLS протокол на серверах, на которых включена поддержка SSLv2 (DROWN-атака) с подробным описанием.

Читать далее “POODLE: как обстоят дела на сегодня?”