Cos’era DROWN, la vulnerabilità  HTTPS che interessava 13 milioni di siti web

Aggiornato il: 22-01-2023 16:43
Si torna a parlare di HTTPS e di una sua potenziale falla che, in questo caso, sembra avere un spettro piuttosto ampio: i dettagli tecnici forse non saranno molto familiari a tutti, ma è bene tenere presente che il rischio c’è per quanto si stiano già  prendendo importanti provvedimenti per mitigare i rischi.


V-Hosting è l'hosting italiano: scoprilo adesso


Scopri Keliweb , il servizio di hosting italiano: clicca qui !

Circa il 33% dei siti sarebbe interessato, nello specifico, a questa nuova vulnerabilità  sul TLS, che permetterebbe ad un attaccante di decriptare il contenuto della comunicazione protetta sfruttando ripetute connessioni al server via SSLv2. Una versione peraltro disabilitata nella maggioranza degli scenari che potrebbe, tuttavia, essere abilitata dai browser su richiesta e sfruttare cosଠuna errata configurazione di TLS. OpenSSL è interessata al problema, ma oggi stesso sembra che sia uscito un aggiornamento della libreria che possa risolvere o limitare il problema.


Scopri Keliweb , il servizio di hosting italiano: clicca qui !


V-Hosting è l'hosting italiano: scoprilo adesso

Secondo il sito ufficiale DROWN (questo il nome assegnato alla vulnerabilità ) metterebbe a rischio la riservatezza delle comunicazioni all’interno di vari siti configurati con HTTPS, sottraendo potenzialmente username, password, numeri di carte di credito, email, messaggistica istantanea e documenti sensibili, a seconda dei casi. La pericolosità  della falla è evidenziata dal fatto che, a differenza di altri tipi di attacchi per cui gli utenti comuni possono mitigare almeno in parte gli effetti, non sembra esserci modo di fare nulla di concreto, per cui la responsabilità  sembrerebbe ricadere interamente sulle configurazioni dei server.

Se in generale quindi le comunicazioni client/server avvengono via TLS, in alcune configurazioni viene ancora supportato SSLv2, un vecchio protocollo anni 90 che può essere forzato da uno script malevolo. Tutti i server che supportano ancora SSLv2 (si parla del 17% delle configurazioni HTTPS, a cui bisogna aggiungere un ulteriore 17% dei server che condividano una chiave privata con almeno un’altra applicazione che supporti SSLv2) dovrebbero quindi disabilitarlo, visto che potrebbe permette ad un utente malintenzionato di spiare le sessioni di login o di acquisto via carta di credito effettuate online sul sito.

Consultando il servizio all’indirizzo https://foundeo.com/products/iis-weak-ssl-ciphers/test.cfm oppure test.drownattack.com (questo interessa soprattutto hosting, gestori di siti e relativi sistemisti) è possibile, seppur con qualche grado di incertezza (le falle potrebbero già  essere state mitigate, nel frattempo), verificare se il sito che si sta gestendo sia interessato alla vulnerabilità  (l’immagine è tratta da drownattack.com).



Questo blog pubblica contenuti ed offre servizi free da 11 anni. – Leggi un altro articolo a caso – Per informazioni contattaci
Non ha ancora votato nessuno.

Ti sembra utile o interessante? Vota e fammelo sapere.

Cos’era DROWN, la vulnerabilità  HTTPS che interessava 13 milioni di siti web
cyberpunk 12

Ingegnere per passione, consulente per necessità, docente di informatica; ho creato Trovalost.it e ho scritto quasi tutti i suoi contenuti. Ogni guida viene revisionata e aggiornata periodicamente. Per contatti clicca qui


Scopri Keliweb , il servizio di hosting italiano: clicca qui !


V-Hosting è l'hosting italiano: scoprilo adesso

drown explainer
Torna su