Niestety nawet specjaliści od bezpieczeństwa nie przewidzą wszystkiego. Dowodem na to jest wykryta w zeszłym miesiącu luka w SSLv3. Z jej powodu niestety trzeba zrezygnować z SSLv3. Nie jest to już pierwsza taka luka w historii protokołu SSL.
Co to zmienia dla nas? W zasadzie, nie ma co panikować, ponieważ pewnie dosyć szybko na serwerach czy w bankach SSLv3 zostanie wyłączony. Dobrze mieć jednak świadomość, że taki atak jest możliwy w przypadku włamania na stronę. Nikt z nas nie chciałby pomagać hakerom. Korzystając z okazji odsyłam do artykułu w poradniku "Jak zabezpieczyć Twoją stronę i dane Twoich klientów?"
Więcej na temat luki w SSLv3 pod adresem: http://niebezpiecznik.pl/post/sslv3-umarl-zjadl-go-pudel/
Dla tych co nie lubią czytać :) 1. Tu można sprawdzić podatność strony (serwera) na "pudla" https://www.tinfoilsecurity.com/poodle 2. Tu można sprawdzić podatność przeglądarki https://www.poodletest.com/
SSLv3 to jest stary protokół, w tej chwili powinno się domyślnie używać nowszego TLSv1.2 http://studiostrona.pl/files/forp_tls.png
Uwaga! Korzystanie z TLS nie zwalnia nas z wyłączenia na serwerze obsługi starego protokołu SSLv3 z powodu opisanego na Niebezpieczniku "downgrade dance"
