Seguici su Telegram, ne vale la pena ❤️ ➡ @trovalost
Vai al contenuto

Cos’era DROWN, la vulnerabilità  HTTPS che interessava 13 milioni di siti web


Cerchi un hosting economico per il tuo sito o blog? Tophost ti aspetta (clicca qui)

Si torna a parlare di HTTPS e di una sua potenziale falla che, in questo caso, sembra avere un spettro piuttosto ampio: i dettagli tecnici forse non saranno molto familiari a tutti, ma è bene tenere presente che il rischio c’è per quanto si stiano già  prendendo importanti provvedimenti per mitigare i rischi.

Circa il 33% dei siti sarebbe interessato, nello specifico, a questa nuova vulnerabilità  sul TLS, che permetterebbe ad un attaccante di decriptare il contenuto della comunicazione protetta sfruttando ripetute connessioni al server via SSLv2. Una versione peraltro disabilitata nella maggioranza degli scenari che potrebbe, tuttavia, essere abilitata dai browser su richiesta e sfruttare cosଠuna errata configurazione di TLS. OpenSSL è interessata al problema, ma oggi stesso sembra che sia uscito un aggiornamento della libreria che possa risolvere o limitare il problema.

Secondo il sito ufficiale DROWN (questo il nome assegnato alla vulnerabilità ) metterebbe a rischio la riservatezza delle comunicazioni all’interno di vari siti configurati con HTTPS, sottraendo potenzialmente username, password, numeri di carte di credito, email, messaggistica istantanea e documenti sensibili, a seconda dei casi. La pericolosità  della falla è evidenziata dal fatto che, a differenza di altri tipi di attacchi per cui gli utenti comuni possono mitigare almeno in parte gli effetti, non sembra esserci modo di fare nulla di concreto, per cui la responsabilità  sembrerebbe ricadere interamente sulle configurazioni dei server.

Se in generale quindi le comunicazioni client/server avvengono via TLS, in alcune configurazioni viene ancora supportato SSLv2, un vecchio protocollo anni 90 che può essere forzato da uno script malevolo. Tutti i server che supportano ancora SSLv2 (si parla del 17% delle configurazioni HTTPS, a cui bisogna aggiungere un ulteriore 17% dei server che condividano una chiave privata con almeno un’altra applicazione che supporti SSLv2) dovrebbero quindi disabilitarlo, visto che potrebbe permette ad un utente malintenzionato di spiare le sessioni di login o di acquisto via carta di credito effettuate online sul sito.

Ti potrebbe interessare:  Gli H1 multipli danneggiano la SEO (o forse non c'entra nulla)

Consultando il servizio all’indirizzo https://foundeo.com/products/iis-weak-ssl-ciphers/test.cfm oppure test.drownattack.com (questo interessa soprattutto hosting, gestori di siti e relativi sistemisti) è possibile, seppur con qualche grado di incertezza (le falle potrebbero già  essere state mitigate, nel frattempo), verificare se il sito che si sta gestendo sia interessato alla vulnerabilità  (l’immagine è tratta da drownattack.com).

Da non perdere 👇👇👇



Questo sito esiste da 4430 giorni (12 anni), e contiene ad oggi 4008 articoli (circa 3.206.400 parole in tutto) e 12 servizi online gratuiti. – Leggi un altro articolo a caso
Non ha ancora votato nessuno.

Ti sembra utile o interessante? Vota e fammelo sapere.


Cerchi un hosting economico per il tuo sito o blog? Tophost ti aspetta (clicca qui)

Questo sito contribuisce alla audience di sè stesso.
Il nostro network informativo: Lipercubo.it - Pagare.online - Trovalost.it.