SSL 3.0 RIP

Oct. 15th, 2014 10:43 am
vitus_wagner: My photo 2005 (Default)
[personal profile] vitus_wagner
Тут вот нашли очередную засаду в SSL и рекомендуют всем немедленно выключить SSLv3.0, оставив только TLS 1.0 и выше.

При этом на многих ресурсах пишут что вот один из немногих браузеров, кому от этого станет плохо, это IE6.

Но насколько я помню, IE6 уже поддерживал TLS v1.0. Просто в нем эта поддержка была по умлочанию выключена. И в Internet Options ее можно было включить. (в частности это приходилось делать, чтобы заработала гостовская TLS, поскольку чудовский драфт был про TLS 1.0 и выше).

Искать достаточно древнюю виртуальную машину, на которой можно проверить, правильно ли я помню - лень.
Tags:
  • Add Memory
  • Share This Entry
Flat | Top-Level Comments Only

Date: 2014-10-15 06:57 am (UTC)
From: [identity profile] shur-ik.livejournal.com
Только что глянул на своём стенде -- да, именно так. "Свойства обозревателя" -> "Дополнительно". Первые же три пункта, всё на местах, только у TLS 1.0 галочка снята.

Date: 2014-10-15 07:06 am (UTC)
vitus_wagner: My photo 2005 (Default)
From: [personal profile] vitus_wagner
Спасибо.

Date: 2014-10-15 07:06 am (UTC)
brmail: (письмецо)
From: [personal profile] brmail
вопрос - зачем юзать такой древний браузер. Особенно там, куда нужна шифрованная связь

Date: 2014-10-15 07:08 am (UTC)
vitus_wagner: My photo 2005 (Default)
From: [personal profile] vitus_wagner
В наше время вопрос обычно ставится так "без шифрования мы вас вообще к себе не пустим". Соответственно, вопрос в том, готовы ли мы пожертвовать пользователями, которые по какиим-то причинам не хотят апгрейдить систему.

Date: 2014-10-15 07:40 am (UTC)
brmail: (письмецо)
From: [personal profile] brmail
Ведь на XP семерка встает без проблем, почему не поставить? Просто речь уже не идет о саппорте продукта, как такового, там кроме этой дыры незаткнутых других дыр полно. Ну те если пользователь себе хочет выстрелить в голову, то мешать ему не следует, пусть стреляет

Date: 2014-10-15 08:14 am (UTC)
vitus_wagner: My photo 2005 (Default)
From: [personal profile] vitus_wagner
Почему пользователь не ставит себе более новую систему это его пользовательские проблемы. А наши серверные проблемы - это посылать его совсем или посоветовать ему галочку в настройках.

Date: 2014-10-15 08:35 am (UTC)
From: [identity profile] avryabov.livejournal.com
Дык бабло нужно платить за лицензию.
XP уже купленная и есть.

Date: 2014-10-15 08:38 am (UTC)
vitus_wagner: My photo 2005 (Default)
From: [personal profile] vitus_wagner
Если "семерка" это не win7, а IE7, то ничего платить не нужно.

Date: 2014-10-15 09:40 am (UTC)
From: [identity profile] avryabov.livejournal.com
Да, это я тупанул.

Date: 2014-10-15 07:51 am (UTC)
From: [identity profile] inkelyad.livejournal.com
Насколько я понимаю, IE6 сейчас важен только во всяких интранетах, где какой-то сильно хитрый софт переписывать дорого. В этих местах можно и IPSec и даже шифрующие bump-in-the-wire поднять, если нужно. А в публичных сервисах необходимость этого IE6 и так старательно изводят.

Date: 2014-10-15 08:46 am (UTC)
vitus_wagner: My photo 2005 (Default)
From: [personal profile] vitus_wagner
Ну не знаю. Ко мне на www.wagner.pp.ru за последние две недели - 615 запросов, не считая Netcraft Server Survey (который почему-то тоже представляется IE 6).

Целых 0.2%

Date: 2014-10-15 09:05 am (UTC)
From: [identity profile] inkelyad.livejournal.com
Речь шла про 'пожертвовать пользователями, которые по каким-то причинам не хотят апгрейдить систему. 'Что довольно трудно считается. Неизвестно, сколько из этих 0.2% увидев табличку 'браузер не поддерживается', уйдет, а сколько - запустит другой, поновее. Но не IE.

Пользователь гарантированно теряется только в том случае, когда сервис в нечем, кроме IE6 не работает. Для публичного интернета можно считать, что таких сайтов уже не бывает.

Date: 2014-10-15 11:06 am (UTC)
vitus_wagner: My photo 2005 (Default)
From: [personal profile] vitus_wagner
Вопрос в том, что среди них может оказаться такой, которого жалко терять.

Date: 2014-10-15 01:40 pm (UTC)
From: [personal profile] zaharchenko
Тут ещё обратный вопрос, сколько среди тех кого жалко терять, окажется тех кому жалко будет терять доступ к сайту и они таки обновятся или поставят другой браузер.

Date: 2014-10-21 04:58 am (UTC)
lumag: (Default)
From: [personal profile] lumag
К сожалению пока еще никто не научился выдавать по SSL табличку "Ваш браузер уже не поддерживается" или "Включите TLS1.0 в настройках". Пользователь IE6, подключившись к такому серверу, увидит только "ошибку соединения" и (скорее всего) будет пребывать в уверенности, что проблема с другой стороны кабеля.

Date: 2014-10-21 05:40 am (UTC)
vitus_wagner: My photo 2005 (Default)
From: [personal profile] vitus_wagner
Насчет "никто не научился" - это неправда. В общем, довольно несложно это сделать. Для этого надо всего лишь не запрещать нехорошие режимы, а перенаправлять (скажем средствами mod_rewrite, который ввполне в состоянии проверить SSL-related переменные) на страничку, которая не требует никакого ввода от пользователя (и, следовательно, не подвержена MitM) на которой это написано.

С другой стороны, по-моему как раз у микрософта была какая-то фича по обработе SSL-ошибок. Во всяком случае от IIS мне как-то удавалось получить в IE вменяемое сервер-сайд сообщение, что общего шифрсьюта не нашлось. Подробностей за давностью лет не помню.
  • Add Memory
  • Share This Entry
Flat | Top-Level Comments Only

Profile

vitus_wagner: My photo 2005 (Default)
vitus_wagner
My Website

May 2025

S M T W T F S
    1 2 3
4 56 7 8 9 10
11 12 131415 1617
1819202122 2324
252627 28293031

Most Popular Tags

Page Summary

Style Credit

Expand Cut Tags

No cut tags
Page generated May. 30th, 2025 12:08 pm
Powered by Dreamwidth Studios